英国政府警告，有APT组织正利用VPN漏洞大肆攻击

英国国家网络安全中心（NCSC）警告称，APT（Advanced persistent threat）攻击者一直在利用最近披露的影响企业VPN产品的漏洞进行攻击，这些漏洞分别基于Fortinet、Palo Alto Networks和Pulse Secure的VPN产品。

隶属于英国情报机构的英国国家网络安全中心（NCSC）本周发出警告，表示英国各组织公司如果继续使用受影响的VPN产品，可能会成为APT的目标。

根据NCSC的说法：“这起网络攻击活动正在大规模进行中，目标是各大英国和国际组织。受影响的行业包括政府、军事、学术、商业和医疗。”

据官方称，APT组织正在大规模利用几个知名VPN产品的漏洞，包括CVE-2019-11510和CVE-2019-11539，涉及Pulse Secure的产品，CVE-2018-13379，CVE-2018-13382和CVE-2018-13383，涉及Fortinet的产品，以及影响Palo Alto Networks产品的CVE-2019-1579。

今年夏天，安全咨询公司DEVCORE的研究人员Orange Tsai和Meh Chang披露了Pulse Secure、Fortinet和Palo Alto Networks的VPN产品中的漏洞。而在漏洞详细信息公布不久后，一些PoC脚本就被公之于众。

研究人员曾警告说，这些漏洞可以被攻击者远程利用，入侵公司网络，窃听机密通信，窃取敏感信息。

在漏洞披露几周后，就首次发现了针对Fortinet和Pulse Secure产品的网络攻击。

9月初，来自微软威胁情报中心（Microsoft’s Threat Intelligence Center）的分析师透露，自7月中旬，即PoC被公开数周前，该公司就追踪到的一个攻击组织（MANGANESE）一直在利用这些漏洞进行攻击。

而从2007年开始，FireEye就已经发现了MANGANESE（被称为APT5），该组织也一直很活跃，主要针对亚洲的电信和科技公司。

NCSC的警告中并没有具体说明哪些APT利用了这些漏洞，但它建议以前被APT攻击过的组织和发现正在使用相关产品的企业迅速采取措施。

Pulse Secure在8月下旬声称，它的大多数客户已经修补了这些漏洞，但Bad Packets当时表示，超过2500个组织的14000多个有漏洞的Pulse Secure产品暴露在公网中。

Bad packages最近的更新显示，截至9月30日，互联网上仍然有超过6500个存在漏洞的Pulse Secure产品，其中大多数位于美国、日本和英国。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.securityweek.com/apts-exploiting-enterprise-vpn-vulnerabilities-uk-govt-warns