执行摘要
在这篇博文中,Akamai 研究人员强调了被忽视的 VPN 后利用威胁;也就是说,我们讨论了威胁行为者在入侵 VPN 服务器后可以用来进一步升级入侵的技术。
我们的发现包括影响 Ivanti Connect Secure 和 FortiGate VPN 的几个漏洞。
除了漏洞之外,我们还详细介绍了一组可能影响 Ivanti Connect Secure 和 FortiGate 产品以及其他 VPN 服务器的无修复技术。
我们的研究表明,在许多情况下,受到感染的 VPN 服务器可以让攻击者轻松控制网络中的其他关键资产。
这篇博文旨在提高人们对这些风险的认识,并提出防御者应遵循的最佳实践,以最大限度地降低 VPN 后利用技术的风险。
介绍
我们都听过这样的故事:VPN 服务器中发现了一个严重漏洞。该漏洞被广泛利用。管理员匆忙修补。恐慌在社交媒体上蔓延。
去年对于 VPN 安全来说相当艰难——似乎每隔 一个月 就会有一个关键漏洞被修补或被威胁者在野外利用。尽管这种活动在 2023 年显著增加,但这并不是什么新鲜事。攻击者长期以来一直试图利用 VPN 服务器,因为它们可以通过互联网访问,暴露了丰富的攻击面,而且通常缺乏安全性和监控。
从历史上看,VPN服务器主要被滥用来实现一个目标 — 初始访问。攻击者会破坏面向互联网的 VPN 服务器,并将其作为进入内部网络的滩头阵地,从而进行入侵。
虽然这种方法非常有效,但我们还是问自己:对 VPN 服务器的控制是否应该仅仅被视为网络的网关?
我们想看看还有什么可能。
以下博客文章探讨了 VPN 后利用技术,这些技术可被已经通过其他手段(漏洞、窃取凭证等)入侵 VPN 服务器的攻击者利用来实现其他目标。
依靠 VPN 生活
威胁行为者执行后利用技术的主要方法是针对设备的操作系统。获得远程代码执行 (RCE) 后,攻击者可以在设备操作系统上植入自定义植入物。从这一点开始,威胁行为者可以控制 VPN 的各个方面;例如,他们可以挂钩函数以泄露敏感信息,尝试通过操纵日志来逃避检测,或者修改系统配置以保持设备上的持久性。
虽然这种方法有很多优点,但它也有一个主要缺点——成本高昂。由于设备通常运行在定制的强化操作系统上,因此开发和维护 VPN 设备的定制植入物所需的工作量可能很大。这意味着 VPN 后利用技术通常仅由顶级国家威胁行为者使用。
探索不同的方法
我们决定探索一种不同的方法——一种“更简单”的 VPN 后利用形式。我们决定滥用设备的现有功能,而不是依赖在操作系统上运行的自定义植入。我们问自己:攻击者在仅使用 VPN 管理界面时能做什么?
这种方法,我们称之为“依靠 VPN 生活”,至少有两个优点。
这种类型的访问比完整的 RCE 更容易获得——可以通过身份验证绕过漏洞、弱凭证或网络钓鱼获得对管理界面的访问权限。
这种方法更具成本效益,因为我们避免了开发自定义有效载荷的努力。
作为我们的测试对象,我们选择市场上领先的两款 VPN 服务器——Ivanti Connect Secure 和 FortiGate。我们发现了 2 个 CVE 和一组不可修复技术,这些技术可被控制 VPN 服务器的攻击者用来接管网络中的其他关键资产,从而有可能将VPN 入侵转变为整个网络入侵。
虽然我们的研究结果主要集中在 FortiGate 和 Ivanti 上,但我们相信,我们发现的技术变体可能与其他 VPN 服务器和边缘设备相关。
滥用远程身份验证服务器
VPN 服务器处理的一些最有趣的资产是外部凭证。尽管 VPN 服务器支持使用本地用户进行身份验证,但在许多情况下会使用外部身份验证服务器。
管理员可以选择使用现有的身份提供商来验证用户身份,而不是为每个用户维护一组单独的凭证。用户将其“正常”凭证发送到 VPN 服务器,然后通过远程身份验证服务器进行验证(图 1)。
为此目的可以使用几种类型的身份验证服务器 - 其中主要的两个选项是 LDAP 和 RADIUS。
我们发现了一些技术,这些技术可以让攻击者利用这种行为来破坏这些外部凭证,从而有可能让攻击者获得对网络中其他资源的访问权限。
拦截 LDAP 凭证
VPN 的一个非常流行的身份验证服务器选项是 LDAP,最常见的是 Active Directory (AD) 域控制器。通过此配置,用户可以通过其域凭据访问 VPN,这是一个非常方便的选择。
配置 LDAP 身份验证服务器时,需要提供 AD 服务帐户的凭据,以允许 VPN 查询用户信息。FortiGate 中此配置的示例如图 2 所示。
当用户尝试使用 LDAP 凭据向 FortiGate 或 Ivanti 进行身份验证时