虚拟专用网漏洞增加了远程访问风险

在新冠肺炎疫情爆发后，越来越多的人在家工作，影响主要用于提供对运营技术(OT)网络的远程访问的虚拟专用网(VPN)实施的远程代码执行漏洞变得更加受关注。

这些专用远程访问解决方案主要侧重于工业控制系统(ICS)行业，其主要用例是为现场控制器和设备(包括可编程逻辑控制器(plc)和输入/输出(IO)设备)提供维护和监控。此类解决方案通常部署在普渡模型的第5层网络的外层边界，并提供对位于第1/0层的现场控制器和设备的访问。利用这些漏洞可以使攻击者直接访问现场设备并造成一些物理破坏。

易受攻击的产品广泛应用于石油和天然气、水务和电力等现场行业，在这些行业中，与远程站点的安全连接至关重要。除了站点之间的连接之外，这些解决方案还用于使远程操作员和第三方供应商能够拨入客户站点，并为plc和其他1/0级设备提供维护和监控。最近几个月，由于COVID-19的新现实，这种途径变得特别优先。

为了更好地了解利用这些漏洞所带来的风险，以及如何防范此类攻击，Claroty研究团队广泛测试了一些流行的远程访问解决方案的安全状况。研究结果如下:

远程访问服务器

易受攻击的远程访问服务器可以成为攻击者针对vpn的高效攻击面。这些工具允许客户端通过加密隧道连接到服务器。然后，服务器将通信转发到内部网络。这意味着服务器是网络中的关键资产——因为它在互联网上有一条“腿”，所有人都可以访问，而在安全的内部网络上有一条“腿”——超出了所有外围安全措施。因此，获得访问权限使攻击者不仅可以查看内部流量，还可以像网络中的合法主机一样进行通信。

近年来，人们开始转向基于云的远程访问解决方案，这种解决方案通常能够实现快速部署并降低成本。通常，他们还提供白色标签的解决方案，大型公司可以购买这些解决方案来拥有自己的个人云，而底层软件完全相同。因此，在一个实例中发现bug可能意味着所有其他实例也会受到影响。

远程网络连接

ICS行业面临的一大挑战是远程站点与SCADA/数据采集服务器所在的主数据中心之间的安全连接。最近，我们已经看到了多个事件，其中面向互联网的ICS设备已被直接访问，而无需任何凭据;这种威胁最近已经在CISA警报中解决。为了避免这种情况，存在多种ICS VPN解决方案，它们能够以安全的方式在站点和中心之间建立这些远程连接。

客户端控制

针对vpn的另一个常见攻击面是客户端。通过控制授权用户的计算机，攻击者可以访问该用户的VPN凭据以及其他员工帐户的凭据，从而使攻击者能够渗透并进一步扩展其在组织内部网络中的立足点，而无需处理服务器实例。

网络安全威胁趋势

远程访问趋势:最近几周，我们在流行的远程访问解决方案中发现了许多漏洞。我们预计，在2019冠状病毒病(COVID-19)的居家办公时代，越来越多地使用这些平台将从运营方面(因为它们变得更加关键流程)和安全方面(因为它们变得越来越普遍)两方面推动人们的兴趣增加。对这些企业基础设施组件的拒绝服务(DoS)攻击可能会成为有经济动机的攻击者使用的一种新策略。

ICS ransomware:高级持续性威胁(APT)活动正在增加，我们已经看到这种活动从广泛的、基本上不加区分的攻击转变为高度针对性的攻击。近几个月来，作为勒索软件组织的主要目标，OT一直备受关注，此类攻击主要集中在OT网络的信息技术(IT)组件上，例如人机界面(hmi)和工程工作站。

利用边缘设备中的漏洞可以为这些组织提供直接访问ICS设备和关键目标区域的机会，当这些攻击者接管时，可能会为这些攻击者的业务模式带来最大的好处。攻击者使用这种策略的一个很好的例子是最近对本田的攻击。（本田说，它的一个内部服务器受到外部攻击。该公司补充说，这个问题正在影响其访问计算机服务器、使用电子邮件和以其他方式利用其内部系统的能力。它补充说，“病毒已经在整个网络中传播”，但没有提供进一步的细节。这家汽车巨头感受到了EKANS勒索软件的影响。

钓鱼活动:Claroty一直专注于客户端攻击，因为利用网络钓鱼活动作为攻击媒介，针对OT网络的APT活动有所增加。我们在这一领域的主要研究重点是发现针对ot相关客户端的漏洞和利用，如对VPN客户端的攻击所示。

这些漏洞加剧了OT远程访问固有的独特风险。虽然大多数vpn的安全特性使它们非常适合IT远程访问，并且非常安全，但这些特性往往不如严格的基于角色和策略的管理控制和监控功能全面，这些功能需要确保OT远程访问连接的安全，并将员工和第三方引入的风险降至最低。

本内容最初出现在ISSSource.com。ISSSource是CFE Media内容合作伙伴。

原创内容可在isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。