Добро пожаловать обратно, мои начинающие кибервоины!
Хотя VPN-сервисы продаются для обеспечения вашей безопасности в Интернете, многие из них не являются безопасными и надёжными. Более того, некоторые из них могут даже снизить вашу безопасность. Это связано с тем, что разработчики во многих случаях не предприняли даже самых элементарных мер для защиты этих устройств. Как отмечалось в моём предыдущем посте , россияне вывели из строя систему спутникового интернета ViaSat на Украине и в Европе, эксплуатируя уязвимость Fortinet VPN, где злоумышленник мог получить учётные данные в открытом виде, используя простую атаку с обходом каталогов (../../).
В этой статье я хочу показать вам некоторые наиболее серьезные уязвимости в некоторых наиболее популярных VPN в 2024 году.
В быстро меняющемся мире кибербезопасности виртуальные частные сети (VPN) рекламируются как незаменимые инструменты для организаций любого размера и любого потребителя. Они предоставляют сотрудникам относительно безопасный способ удалённого подключения к корпоративным сетям, позволяя гибко организовывать работу и одновременно защищать конфиденциальную информацию. Однако, несмотря на свою важность, VPN также могут представлять собой потенциально уязвимые места, создающие значительные риски.
В 2023 году сфера кибербезопасности столкнулась с шокирующей реальностью: по сравнению с 2022 годом число зарегистрированных уязвимостей VPN выросло на 47%. Эта тревожная статистика вызвала серьезную обеспокоенность в отрасли и побудила организации пересмотреть свои меры безопасности.
Хотя VPN критически важны для обеспечения безопасного удалённого доступа и защиты конфиденциальных данных от перехвата, рост числа уязвимостей представляет серьёзную угрозу. Если злоумышленникам удастся воспользоваться этими уязвимостями, они смогут проникать в сети незамеченными. Это может привести к серьёзным утечкам данных, атакам программ-вымогателей или вымогательству. APT-группы по всему миру используют эти уязвимости для доступа к учётным данным и тому, что считалось защищённым соединением.
Учитывая эти риски, организациям необходимо понимать уязвимости, связанные с их VPN. В этой статье будут рассмотрены 5 основных уязвимостей VPN, выявленных с 2022 года до середины 2024 года.
CVE-2024-24919 — это уязвимость раскрытия информации, которая может позволить злоумышленнику получить доступ к определённой информации на интернет-шлюзах, настроенных с использованием IPSec VPN, VPN для удалённого доступа или программного блейда для мобильного доступа. Согласно бюллетеню, Check Point наблюдала случаи эксплуатации этой уязвимости в реальных условиях, и до сих пор эксплойты были сосредоточены на устройствах, настроенных с локальными учётными записями и аутентификацией только по паролю.
Давайте попробуем эксплуатировать эту уязвимость самостоятельно. Уже разработано несколько прототипов эксплойтов, доступных на GitHub. В качестве примера возьмём реализацию GoatSecurity .
Вы можете загрузить и клонировать репозиторий с помощью команды ниже.
Кали> https://github.com/GoatSecurity/CVE-2024-24919.git
Перейдите в новый каталог.
кали> cd cve-2024-24919
Наконец, установите все необходимое с помощью pip.
kali> pip install -r requirements.txt
Как видите, была использована атака обхода пути (также известная как обход каталога). Это тип уязвимости безопасности, позволяющий хакеру получить доступ к произвольным файлам и каталогам, хранящимся в файловой системе. Это достигается путём манипулирования входными путями, используя последовательности типа ../ для перехода к родительским каталогам. В коде скрипта мы видим эти пути.
В результате выполнения скрипта мы получили ценную системную информацию, которую можно использовать для планирования дальнейших действий.
CVE-2024-21762 — уязвимость записи за пределами выделенного буфера памяти в sslvpnd, демоне SSL VPN операционной системы FortiOS от Fortinet. Неавторизованный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные HTTP-запросы на уязвимое устройство с включённым SSL VPN. Успешная эксплуатация позволит злоумышленнику удалённо выполнить код (rce) или команды на устройстве.
Почти через месяц после того, как Fortinet обратила внимание на уязвимость CVE-2024-21762, Shadowserver Foundation сообщила об обнаружении почти 150 000 уязвимых устройств.
Давайте рассмотрим, сколько устройств FortiOS находится в России по данным Censys: (FortiOS) и location.country =`Russia`
Выявлено 1804 системы. Теперь давайте проверим, какие из них уязвимы для эксплуатации. Мы можем скачать сканер уязвимостей, предназначенный для этого эксплойта, с GitHub, как показано ниже.
kali> git clone https://github.com/cleverg0d/CVE-2024-21762-Checker.git
После загрузки мы можем направить его в VPN, просто добавив IP-адрес и порт.
kali> python3 check-cve-2024-21762.py <IP> <ПОРТ>
Большинство из них были исправлены, но некоторые уязвимые системы все еще существуют, например, эта российская интернет-аптека, показанная ниже.
CVE-2024-3400 — критическая уязвимость, связанная с внедрением команд, влияющая на функцию GlobalProtect Gateway в PAN-OS. Неавторизованный удалённый злоумышленник может воспользоваться этой уязвимостью для выполнения кода на уязвимом брандмауэре с правами root!
Эта уязвимость затрагивает определённые версии PAN-OS, включая 10.2, 11.0 и 11.1. Компания Palo Alto Networks подтвердила, что с момента её обнаружения было совершено несколько атак с использованием этой уязвимости. Подробный анализ выявил изощрённость и намерения злоумышленников, связанных с государственной группировкой UTA0218. Злоумышленники воспользовались уязвимостью для создания обратного шелла, что позволило им загружать вредоносные инструменты, похищать конфиденциальные данные конфигурации и осуществлять горизонтальное перемещение внутри скомпрометированных сетей.
Чтобы найти IP-адреса систем под управлением PAN-OS, можно использовать Shodan или Censys. Для проверки можно использовать следующий шаблон Nuclei из репозитория GitHub (см. ниже).
Кали> https://github.com/ihebski/CVE-2024-3400.git
Nuclei — это быстрый и настраиваемый сканер уязвимостей. Он позволяет пользователям отправлять запросы нескольким целевым объектам на основе шаблонов.
Чтобы использовать nuclei, просто выполните команду nuclei, затем опцию -t, затем шаблон nuclei, который мы только что загрузили, затем IP-адрес и, наконец, опцию -o, чтобы обозначить имя выходного файла, как показано ниже.
kali> nuclei -t CVE-2024-3400.yaml -u https://<IP>
Затем мы можем внедрить полезную нагрузку для внедрения команды в значение cookie SESSID и отправить его в /ssl-vpn/hipreport.esp. При включении телеметрии на устройстве Palo Alto GlobalProtect это значение объединяется в строку и выполняется как команда оболочки!
CVE-2023-27997 — уязвимость переполнения буфера в динамической памяти, влияющая на работу виртуальной частной сети на уровне защищенных сокетов (SSL VPN) в FortiOS и FortiProxy на устройствах Fortinet, включая межсетевые экраны нового поколения FortiGate (NGFW). Неавторизованный удалённый злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные запросы на уязвимое устройство, что потенциально позволяет злоумышленнику выполнить произвольный код на уязвимом устройстве.
Это раскрытие информации отражает предыдущие уязвимости, о которых сообщала Fortinet, такие как CVE-2022-40684, критический обход аутентификации в FortiOS и FortiProxy, и CVE-2022-42475, ещё одно переполнение буфера в динамической памяти в SSL-VPN FortiOS. Fortinet пережила несколько очень неудачных лет. Понятно, почему кто-то всё ещё доверяет их продуктам.
Уязвимость CVE-2022-42475 эксплуатировалась в реальных условиях предположительно китайскими злоумышленниками, что привело к компрометации государственного учреждения в Европе и поставщика управляемых услуг в Африке. Более того, недавняя публикация в блоге Fortinet указывает на то, что уязвимость CVE-2022-40684 стала целью недавно выявленной злоумышленницы, известной как Volt Typhoon.
CVE-2023-46805 и CVE-2024-21887 — две критические уязвимости, оказавшие значительное влияние на продукты Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS). Эти уязвимости привлекли пристальное внимание специалистов по кибербезопасности из-за своей серьёзности и потенциальных последствий.
Первая уязвимость, CVE-2023-46805, представляет собой обход аутентификации в веб-компоненте устройств. Это позволяет злоумышленникам получать доступ к ограниченным ресурсам, минуя необходимые проверки. Вторая уязвимость, обозначенная как CVE-2024-21887, представляет собой уязвимость, связанную с внедрением команд, которая позволяет аутентифицированным администраторам выполнять произвольные команды на уязвимых устройствах с помощью специально созданных запросов.
Компания Ivanti сообщила, что
эти две уязвимости нулевого дня уже эксплуатировались в реальных условиях, затронув ограниченное число клиентов. Компания Volexity, занимающаяся анализом угроз, выявила факт эксплуатации этих уязвимостей нулевого дня в декабре, связав атаку с предполагаемой китайским государственным хакером.
Это не первый случай, когда китайские группы киберпреступников атакуют продукты Ivanti. В 2021 году они уже использовали уязвимость нулевого дня в Connect Secure, идентифицированную как CVE-2021-22893, что привело к нарушениям безопасности, затронувшим многочисленные правительственные, оборонные и финансовые организации США и Европы.
VPN-сервисы продаются как продукты, обеспечивающие нашу безопасность. К сожалению, слабые стандарты безопасности у этих разработчиков сделали многие из этих устройств недостаточно безопасными. Это означает, что если вы полагаетесь на них в вопросах своей безопасности, ваше доверие, вероятно, необоснованно.
Описанные здесь уязвимости представляют собой серьёзные риски безопасности, позволяя злоумышленникам проникать в сети, красть конфиденциальные данные и внедрять вредоносное ПО. Это подчёркивает острую необходимость в бдительности и проактивном подходе к устранению этих уязвимостей. Надеемся, мы ясно дали понять, что VPN не так безопасны, как многие думали.
Хотя VPN-сервисы продаются для обеспечения вашей безопасности в Интернете, многие из них не являются безопасными и надёжными. Более того, некоторые из них могут даже снизить вашу безопасность. Это связано с тем, что разработчики во многих случаях не предприняли даже самых элементарных мер для защиты этих устройств. Как отмечалось в моём предыдущем посте , россияне вывели из строя систему спутникового интернета ViaSat на Украине и в Европе, эксплуатируя уязвимость Fortinet VPN, где злоумышленник мог получить учётные данные в открытом виде, используя простую атаку с обходом каталогов (../../).
В этой статье я хочу показать вам некоторые наиболее серьезные уязвимости в некоторых наиболее популярных VPN в 2024 году.
VPN в кибербезопасности
В быстро меняющемся мире кибербезопасности виртуальные частные сети (VPN) рекламируются как незаменимые инструменты для организаций любого размера и любого потребителя. Они предоставляют сотрудникам относительно безопасный способ удалённого подключения к корпоративным сетям, позволяя гибко организовывать работу и одновременно защищать конфиденциальную информацию. Однако, несмотря на свою важность, VPN также могут представлять собой потенциально уязвимые места, создающие значительные риски.
В 2023 году сфера кибербезопасности столкнулась с шокирующей реальностью: по сравнению с 2022 годом число зарегистрированных уязвимостей VPN выросло на 47%. Эта тревожная статистика вызвала серьезную обеспокоенность в отрасли и побудила организации пересмотреть свои меры безопасности.
Хотя VPN критически важны для обеспечения безопасного удалённого доступа и защиты конфиденциальных данных от перехвата, рост числа уязвимостей представляет серьёзную угрозу. Если злоумышленникам удастся воспользоваться этими уязвимостями, они смогут проникать в сети незамеченными. Это может привести к серьёзным утечкам данных, атакам программ-вымогателей или вымогательству. APT-группы по всему миру используют эти уязвимости для доступа к учётным данным и тому, что считалось защищённым соединением.
Учитывая эти риски, организациям необходимо понимать уязвимости, связанные с их VPN. В этой статье будут рассмотрены 5 основных уязвимостей VPN, выявленных с 2022 года до середины 2024 года.
CVE-2024-24919 (раскрытие информации в Check Point Quantum Gateway/Spark Gateway/CloudGuard Network Remote Access VPN)
CVE-2024-24919 — это уязвимость раскрытия информации, которая может позволить злоумышленнику получить доступ к определённой информации на интернет-шлюзах, настроенных с использованием IPSec VPN, VPN для удалённого доступа или программного блейда для мобильного доступа. Согласно бюллетеню, Check Point наблюдала случаи эксплуатации этой уязвимости в реальных условиях, и до сих пор эксплойты были сосредоточены на устройствах, настроенных с локальными учётными записями и аутентификацией только по паролю.
Эксплуатация
Давайте попробуем эксплуатировать эту уязвимость самостоятельно. Уже разработано несколько прототипов эксплойтов, доступных на GitHub. В качестве примера возьмём реализацию GoatSecurity .
Вы можете загрузить и клонировать репозиторий с помощью команды ниже.
Кали> https://github.com/GoatSecurity/CVE-2024-24919.git
Перейдите в новый каталог.
кали> cd cve-2024-24919
Наконец, установите все необходимое с помощью pip.
kali> pip install -r requirements.txt
Как видите, была использована атака обхода пути (также известная как обход каталога). Это тип уязвимости безопасности, позволяющий хакеру получить доступ к произвольным файлам и каталогам, хранящимся в файловой системе. Это достигается путём манипулирования входными путями, используя последовательности типа ../ для перехода к родительским каталогам. В коде скрипта мы видим эти пути.
В результате выполнения скрипта мы получили ценную системную информацию, которую можно использовать для планирования дальнейших действий.
CVE-2024-21762 (запись за пределами буфера памяти в Fortinet FortiOS)
CVE-2024-21762 — уязвимость записи за пределами выделенного буфера памяти в sslvpnd, демоне SSL VPN операционной системы FortiOS от Fortinet. Неавторизованный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные HTTP-запросы на уязвимое устройство с включённым SSL VPN. Успешная эксплуатация позволит злоумышленнику удалённо выполнить код (rce) или команды на устройстве.
Почти через месяц после того, как Fortinet обратила внимание на уязвимость CVE-2024-21762, Shadowserver Foundation сообщила об обнаружении почти 150 000 уязвимых устройств.
Разведка и исследование
Давайте рассмотрим, сколько устройств FortiOS находится в России по данным Censys: (FortiOS) и location.country =`Russia`
Выявлено 1804 системы. Теперь давайте проверим, какие из них уязвимы для эксплуатации. Мы можем скачать сканер уязвимостей, предназначенный для этого эксплойта, с GitHub, как показано ниже.
kali> git clone https://github.com/cleverg0d/CVE-2024-21762-Checker.git
После загрузки мы можем направить его в VPN, просто добавив IP-адрес и порт.
kali> python3 check-cve-2024-21762.py <IP> <ПОРТ>
Большинство из них были исправлены, но некоторые уязвимые системы все еще существуют, например, эта российская интернет-аптека, показанная ниже.
CVE-2024-3400 (внедрение команд в Palo Alto Networks PAN-OS GlobalProtect)
CVE-2024-3400 — критическая уязвимость, связанная с внедрением команд, влияющая на функцию GlobalProtect Gateway в PAN-OS. Неавторизованный удалённый злоумышленник может воспользоваться этой уязвимостью для выполнения кода на уязвимом брандмауэре с правами root!
Эта уязвимость затрагивает определённые версии PAN-OS, включая 10.2, 11.0 и 11.1. Компания Palo Alto Networks подтвердила, что с момента её обнаружения было совершено несколько атак с использованием этой уязвимости. Подробный анализ выявил изощрённость и намерения злоумышленников, связанных с государственной группировкой UTA0218. Злоумышленники воспользовались уязвимостью для создания обратного шелла, что позволило им загружать вредоносные инструменты, похищать конфиденциальные данные конфигурации и осуществлять горизонтальное перемещение внутри скомпрометированных сетей.
Поиск уязвимых систем
Чтобы найти IP-адреса систем под управлением PAN-OS, можно использовать Shodan или Censys. Для проверки можно использовать следующий шаблон Nuclei из репозитория GitHub (см. ниже).
Кали> https://github.com/ihebski/CVE-2024-3400.git
Nuclei — это быстрый и настраиваемый сканер уязвимостей. Он позволяет пользователям отправлять запросы нескольким целевым объектам на основе шаблонов.
Чтобы использовать nuclei, просто выполните команду nuclei, затем опцию -t, затем шаблон nuclei, который мы только что загрузили, затем IP-адрес и, наконец, опцию -o, чтобы обозначить имя выходного файла, как показано ниже.
kali> nuclei -t CVE-2024-3400.yaml -u https://<IP>
Затем мы можем внедрить полезную нагрузку для внедрения команды в значение cookie SESSID и отправить его в /ssl-vpn/hipreport.esp. При включении телеметрии на устройстве Palo Alto GlobalProtect это значение объединяется в строку и выполняется как команда оболочки!
CVE-2023-27997 (переполнение кучи в Fortinet FortiOS/FortiProxy FortiGate SSL-VPN)
CVE-2023-27997 — уязвимость переполнения буфера в динамической памяти, влияющая на работу виртуальной частной сети на уровне защищенных сокетов (SSL VPN) в FortiOS и FortiProxy на устройствах Fortinet, включая межсетевые экраны нового поколения FortiGate (NGFW). Неавторизованный удалённый злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные запросы на уязвимое устройство, что потенциально позволяет злоумышленнику выполнить произвольный код на уязвимом устройстве.
Это раскрытие информации отражает предыдущие уязвимости, о которых сообщала Fortinet, такие как CVE-2022-40684, критический обход аутентификации в FortiOS и FortiProxy, и CVE-2022-42475, ещё одно переполнение буфера в динамической памяти в SSL-VPN FortiOS. Fortinet пережила несколько очень неудачных лет. Понятно, почему кто-то всё ещё доверяет их продуктам.
Уязвимость CVE-2022-42475 эксплуатировалась в реальных условиях предположительно китайскими злоумышленниками, что привело к компрометации государственного учреждения в Европе и поставщика управляемых услуг в Африке. Более того, недавняя публикация в блоге Fortinet указывает на то, что уязвимость CVE-2022-40684 стала целью недавно выявленной злоумышленницы, известной как Volt Typhoon.
CVE-2023-46805 и CVE-2024-21887 (неправильная аутентификация и внедрение команд в Ivanti Connect Secure/Policy Secure Web)
CVE-2023-46805 и CVE-2024-21887 — две критические уязвимости, оказавшие значительное влияние на продукты Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS). Эти уязвимости привлекли пристальное внимание специалистов по кибербезопасности из-за своей серьёзности и потенциальных последствий.
Первая уязвимость, CVE-2023-46805, представляет собой обход аутентификации в веб-компоненте устройств. Это позволяет злоумышленникам получать доступ к ограниченным ресурсам, минуя необходимые проверки. Вторая уязвимость, обозначенная как CVE-2024-21887, представляет собой уязвимость, связанную с внедрением команд, которая позволяет аутентифицированным администраторам выполнять произвольные команды на уязвимых устройствах с помощью специально созданных запросов.
Компания Ivanti сообщила, что
эти две уязвимости нулевого дня уже эксплуатировались в реальных условиях, затронув ограниченное число клиентов. Компания Volexity, занимающаяся анализом угроз, выявила факт эксплуатации этих уязвимостей нулевого дня в декабре, связав атаку с предполагаемой китайским государственным хакером.
Это не первый случай, когда китайские группы киберпреступников атакуют продукты Ivanti. В 2021 году они уже использовали уязвимость нулевого дня в Connect Secure, идентифицированную как CVE-2021-22893, что привело к нарушениям безопасности, затронувшим многочисленные правительственные, оборонные и финансовые организации США и Европы.
Краткое содержание
VPN-сервисы продаются как продукты, обеспечивающие нашу безопасность. К сожалению, слабые стандарты безопасности у этих разработчиков сделали многие из этих устройств недостаточно безопасными. Это означает, что если вы полагаетесь на них в вопросах своей безопасности, ваше доверие, вероятно, необоснованно.
Описанные здесь уязвимости представляют собой серьёзные риски безопасности, позволяя злоумышленникам проникать в сети, красть конфиденциальные данные и внедрять вредоносное ПО. Это подчёркивает острую необходимость в бдительности и проактивном подходе к устранению этих уязвимостей. Надеемся, мы ясно дали понять, что VPN не так безопасны, как многие думали.
