去年(2019)8月下旬發現Pulse Secure公司之VPN產品的資安漏洞,並已取得CVE-2019-11539之漏洞編號,本中心立即通報國內使用該產品之相關單位,其所涵蓋行業別相當廣泛,顯示出VPN系統可能已成為攻擊者的重要目標之一。
近期Citrix公司之VPN產品也被發現資安漏洞,有心人士可透過該漏洞在不需經身份驗證情況下執行任意程式。也就是攻擊者可透過網際網路,直接入侵單位的內部網路,並透過該漏洞進行相關攻擊行為。該漏洞已取得CVE編號CVE-2019-19781並公佈,而Citrix公司也已針對該漏洞提供即時的緩解方案,並且盡力修補並提出新版本中。
由於此兩次VPN設備存在之資安漏洞,均可讓攻擊者不須驗證其身份即可進入單位的內部網路,竊取相關資訊,且影響範圍遍及全球。
因此針對任何有使用VPN設備之相關單位,即便自身所使用之設備並非遭通報需處理之廠商或型號,建議都應立即嚴格審視VPN系統之安全性並加以防範,以避免未來可能遭受的資安攻擊。
相關連結
台灣網路資訊中心定期精選資安新聞,提供中心部落格讀者了解目前資安發展之最新動態。原文連結為:https://www.twcert.org.tw/tw/cp-104-3212-5e9f9-1.html
