訂閱以接收新文章的通知:

使用 Cloudflare One 消除 VPN 漏洞

2024-03-06

閱讀時間:3 分鐘
本貼文還提供以下語言版本:English日本語한국어简体中文

2024 年 1 月 19 日,網路安全和基礎架構安全局 (CISA) 發佈了緊急指令 24-01:緩解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有權針對已知或合理懷疑的資訊安全威脅、漏洞或事件發佈緊急指令。美國聯邦機構必須遵守這些指令。

Eliminate VPN vulnerabilities with Cloudflare One

聯邦機構被指示對最近發現的兩個漏洞採取緩解措施;緩解措施將在三天內實施。CISA 的進一步監控顯示,威脅行為者正在繼續利用這些漏洞,並針對早期的緩解措施和偵測方法開發了一些應對辦法。1 月 31 日,CISA 發佈了緊急指令的補充指令 V1,指示各機構立即斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有執行個體與機構網路的連線,在執行多項動作後才可將產品重新投入使用。

本部落格文章將探討威脅行為者的策略,討論目標產品的高價值性質,並展示 Cloudflare 的安全存取服務邊緣 (SASE) 平台如何防禦此類威脅

順便說一句,Cloudflare 的 WAF 主動偵測了 Ivanti zero-day 漏洞並部署了緊急規則來保護 Cloudflare 客戶,展示了分層保護的價值。

威脅行為者策略

取證調查(請參閱 Volexity 部落格上的精彩文章)表明,攻擊早在 2023 年 12 月就開始了。結合各種證據,我們可以得知,威脅行為者將兩個以前未知的漏洞鏈接在一起,以獲得對 Connect Secure 和 Policy Secure 設備的存取權限並實現未經驗證的遠端程式碼執行 (RCE)。

CVE-2023-46805 是產品 Web 元件中的驗證繞過漏洞,允許遠端攻擊者繞過控制檢查並獲取對受限資源的存取權限。CVE-2024-21887 是產品 Web 元件中的命令插入漏洞,允許經過驗證的管理員在設備上執行任意命令並傳送特製請求。遠端攻擊者能夠繞過驗證並被視為「經過驗證的」管理員,然後利用在設備上執行任意命令的能力。

透過利用這些漏洞,威脅行為者幾乎完全控制了設備。除此之外,攻擊者還能夠:

  • 收集登入 VPN 服務之使用者的認證

  • 使用這些認證登入受保護系統以搜尋更多認證

  • 修改檔案以啟用遠端程式碼執行

  • 將 Web Shell 部署到多個 Web 伺服器

  • 從設備傳回其命令和控制伺服器 (C2) 的反向通道

  • 透過停用記錄和清除現有記錄來避開偵測

小設備,大風險

這是一起嚴重事件,使客戶面臨重大風險。CISA 發佈指令是合理的,Ivanti 正在努力減輕威脅並為其設備上的軟體開發修補程式。但這也是對傳統「城堡加護城河」安全範式的又一控訴。在這種模式中,遠端使用者位於城堡外,而受保護的應用程式和資源則留在城堡內。由一層安全設備組成的護城河將兩者分開。護城河(在本例中為 Ivanti 設備)負責對使用者進行驗證和授權,然後將他們連接到受保護的應用程式和資源。攻擊者和其他壞人被擋在護城河邊。

這一事件向我們展示了當壞人能夠控制護城河本身時會發生什麼,以及客戶恢復控制權時面臨的挑戰。廠商提供的設備和傳統安全性原則的兩個典型特徵凸顯了風險:

  • 管理員可以存取設備的內部

  • 經過驗證的使用者可以隨意存取公司網路上的各種應用程式和資源,從而增加了不良行為者橫向移動的風險

更好的方法:Cloudflare 的 SASE 平台

With network-level access, attackers can spread from an entry point to the rest of the network

Cloudflare One 是 Cloudflare 的 SSE 和單一廠商 SASE 平台。雖然 Cloudflare One 廣泛涵蓋安全和網路服務(您可以在此處閱讀最新的新增功能),但我想重點關注上述兩點。

首先,Cloudflare One 採用 Zero Trust 原則,包括最低權限原則。因此,成功驗證的使用者只能存取其角色所需的資源和應用程式。這一原則在使用者帳戶遭到入侵的情況下也很有幫助,因為不良行為者不會獲得毫無限制的網路級存取權限。相反,最低權限限制了不良行為者的橫向移動範圍,從而有效減少了影響範圍。

其次,雖然客戶管理員需要有權設定其服務和原則,但 Cloudflare One 不提供對 Cloudflare 平台系統內部的任何外部存取權限。沒有這種存取權限,不良行為者將無法發起有權存取 Ivanti 設備內部時所執行的攻擊類型。

ZTNA helps prevent dangerous lateral movement on an organization’s corporate network

是時候淘汰傳統 VPN 了

如果您的組織受到 CISA 指令的影響,或者您剛好想要進行現代化改造並希望增強或取代當前的 VPN 解決方案,Cloudflare 可以為您提供幫助。Cloudflare 的 Zero Trust 網路存取 (ZTNA) 服務是 Cloudflare One 平台的一部分,是將任何使用者連接到任何應用程式的最快、最安全的方式。

歡迎聯絡我們以立即獲得部署幫助,或安排架構研討會,幫您擴充或取代 Ivanti(或任何)VPN 解決方案。還沒有準備好進行即時對話?請閱讀我們的學習路徑文章,瞭解如何使用 Cloudflare 取代您的 VPN,或閱讀我們的 SASE 參考架構,瞭解我們所有的 SASE 服務和入口如何協同工作。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Security WeekVPNCloudflare OneCloudflare AccessVulnerabilitiesAttacksApplication Services

在 X 上進行關注

Cloudflare|@cloudflare

相關貼文

2024年11月20日 下午10:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...