E安全4月8日讯，自从冠状病毒（COVID-19）爆发以来，由于远程办公的必要需求，企业VPN使用量增加了33％，这也成为黑客发起攻击的一个突破口。据相关媒体报道，与韩国有联系的威胁组织利用零日漏洞攻击了某中国政府机构，该漏洞影响了境内VPN服务。数据显示，从3月开始，DarkHotel组织就已经锁定了许多中国机构。

据悉，攻击者利用深信服VPN服务中一个安全漏洞来传播后门恶意软件。对此，深信服表示，黑客利用VPN客户端更新过程中的漏洞，用后门取代了合法的更新，黑客大约攻击了200个VPN服务器并注入恶意软件。这些攻击主要针对的是中国的组织以及一些其他国家在中国设立的机构。事件发生后，深信服科技立刻发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》，说明了境外APT组织通过深信服VPN设备漏洞拿到权限后，进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动过程。

其实，在过去的2019年是许多企业VPN服务器，例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器，被披露有严重安全漏洞的一年。

早在去年九月份，英国国家网络安全中心（NCSC）就发表报告称，他们正在研究有高级持久威胁（APT）参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。当时该活动也被认为是由某国政府主导的，攻击是针对英国和国际组织发起的，受影响的部门包括政府，军事，学术，商业和医疗保健。事件发生后，这些VPN漏洞已在开放源代码中得到了充分记录，通过行业数据表明，数百名英国主机可能会受到攻击。 据悉，当时攻击影响了：

Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539；

Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379，CVE-2018-13382和CVE-2018-13383;

Palo Alto的GlobalProtect门户和GlobalProtect网关接口产品CVE-2019-1579中的严重远程执行代码错误。

Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781

也是在去年九月份，SafeBreach Labs的研究人员在Forcepoint VPN客户端中发现了一处特权升级漏洞。受影响的产品为Forcepoint VPN Client for Windows软件的6.6.0及更低版。该漏洞不仅可用于提升攻击者的特权，还将允许攻击者长期访问受感染系统。据了解，该VPN程序的可执行程序的路径和命令行中的参数之间缺少引号字符串当黑客在C：\Program.exe和C： \Program Files（x86）\Forcepoint \ VPN.exe 中植入恶意程序时，该VPN程序将自动执行恶意程序，并将黑客权限提升至系统级。

2019年的四月份，美国政府网络安全和基础架构安全局（CISA）发出警报，由四个供应商Cisco, F5 Networks, Palo Alto Networks和 Pulse Secure 构建的VPN应用存在严重漏洞。通过该漏洞，攻击者可以通过访问身份验证或会话令牌，重播数据信息以欺骗用户的VPN会话，并以用户身份获得VPN访问权限对系统进行入侵。

同时，随着世界各地实行国家隔离，大多数用户被困在家里，越来越多的用户在家中浏览Internet时也会使用VPN应用程序绕过地理保护。这也就造成消费者级VPN的使用量也出现了快速激增，在这样的环境下黑客会花费更多的时间来研究对VPN的攻击。

对于预防黑客的VPN攻击，Ramakrishna与Gartner的技术研究人员一起建议政府和企业组织应该考虑向VPN 添加软件定义的外围安全系统（SDP），以便系统可以扩展其整体安全体系结构，以实现公司内部网络可以直接到应用程序的访问，以降低受到黑客攻击的可能性。

E观点

随着越来越多公司和个人对VPN使用需求的快速增加，用户在使用VPN时如何保护自身网络安全成为了时下高度关注的问题之一。来自于安恒信息的应急响应专家Vexs Xu建议，对于VPN的安全使用，首先行业对VPN的管控要规范，遵循安全合规和最佳实践，比如VPN用户账号的分配，密码的强度等都要符合比较高的安全策略，限制这类高权限账号的随意创建，如果管理端口要向互联网开发，要严格限制对其访问的IP地址。与此同时，对VPN设备本身，用户要注意厂商发布的安全更新补丁，如果有提示安全补丁更新，先备份好设备数据然后安装安全更新补丁，建议定期巡检设备，主动发现是否有安全更新补丁需要安装。其次，对VPN设备进行操作审计，比如开启设备日志记录，并定期分析日志中是否有异常访问或操作记录，特别是对高权限的管理员用户的操作记录，如发现有异常要展开排查确保风险的解除。