中国的APT正在推出Pulse Secure和Fortinet VPN服务器

一组中国国家赞助的黑客正在瞄准Fortinet和Pulse Secure的企业VPN服务器，因为这两个产品的安全漏洞的细节在上个月成为公众知识。

ZDNet从熟悉这些攻击的消息来源获悉，这些攻击是由一个名为APT5(也称为锰)的团体进行的。

根据FireEye报告，APT5自2007年以来一直活跃，“似乎是一个由几个小组组成的大型威胁组织，通常具有不同的战术和基础设施。”

FireEye表示，该集团已针对或突破多个行业的组织，但其重点主要集中在电信和技术公司，并对卫星通信公司特别感兴趣。

APT5袭击于上个月开始

从8月下旬开始，较大的APT5伞组的一个小组似乎已经建立了基础设施，通过这些基础设施，他们开始进行互联网扫描，以搜索Fortinet和Pulse Secure VPN服务器。

APT5是第一批开始扫描互联网，然后尝试利用两个VPN服务器产品中的两个漏洞的人之一。

两周前，在拉斯维加斯举行的黑帽美国安全会议上，提出了有关这两个漏洞的详细信息。

这两个漏洞(Fortinet的CVE-2018-13379和Pulse Secure的CVE-2019-11510)都是所谓的“pre-auth文件读取”，它允许攻击者从VPN服务器检索文件而无需进行身份验证。

APT5和其他威胁组正在使用这两个漏洞来窃取存储密码信息或受影响产品的VPN会话数据的文件。这些文件可以让攻击者接管易受攻击的设备。

观察到APT5袭击事件的消息人士称，他们无法确定该组是否成功破坏了这些设备。

目标VPN服务器是高端产品

Fortinet的Fortigate SSL VPN和Pulse Secure的SSL VPN产品都非常受欢迎。例如，Fortinet的Fortigate VPN是绝对的市场领导者，在全球运营着超过480,000个Fortigate SSL VPN服务器。

另一方面，Pulse Secure的SSL VPN被认为是SSL VPN市场上最高端的产品，用于保护许多财富500强企业，互联网上最大的科技公司和政府机构对内部网络的访问。

根据威胁情报公司Bad Packets LLC的数据，在线提供大约42,000个Pulse Secure VPN服务器。

许多公司未能修补

今年早些时候，一家名为Devcore的公司的安全研究人员发现了Fortinet和Pulse Secure漏洞。

该问题被报告给在三月份两家供应商，并通过最紧迫两家厂商修补，Devcore在描述这两个问题。Pulse Secure 在4月发布了一个补丁，Fortinet 在5月发布了自己的补丁。

但是，这两个SSL VPN服务器的所有者似乎无法安装这些修补程序。不这样做的原因各不相同。

一方面，有许多Fortinet客户在社交媒体上报道他们甚至不知道Fortigate VPN有可用的安全修复程序，更不用说他们必须修补了。

该公司本周早些时候未发回评论请求，寻求更多信息。然而，Fortinet 在8月28 日前几天发布了一篇博客文章，将其5月补丁的问题再次引入其网站读者的注意。

PULSE SECURE警告并联系客户

另一方面，Pulse Secure在通知客户方面更加积极，但这并不意味着客户听从了公司的建议。

8月中旬的一次扫描发现，42,000个Pulse Secure SSL VPN服务器中仍有近14,500个仍在运行易受攻击的版本。上周进行的第二次扫描发现，这个数字几乎没有下降，达到10,500。

但这里的责任似乎并不在于Pulse Secure。

“我们不仅发布了公共安全咨询 - SA44101，但从4月的那天开始，我们通过电子邮件，产品内警报，在我们的社区网站上积极通知我们的客户，合作伙伴和服务提供商有关补丁的可用性和需求，在我们的合作伙伴门户网站和我们的客户支持网站上，“Pulse Secure的首席营销官Scott Gordon在一封电子邮件中告诉ZDNet，描述了该公司通知客户的努力。

“我们的客户成功经理也直接与客户联系和合作，”他补充说。“此外，Pulse Secure支持工程师全天候可用，包括周末和假期，以帮助需要帮助的客户应用补丁修复程序。

“我们还向客户提供帮助，即使他们没有遵守有效的维护合同，也可以为这些漏洞应用修补程序，”戈登说。

“仍需要帮助的客户应使用以下URL上的联系信息联系Pulse Secure支持：https：//support.pulsesecure.net/support/support-contacts/ ”

戈登表示，这些努力取得了丰硕成果，因为该公司的大多数客户已经在8月底成功应用了该补丁。

尽管如此，并非所有客户都听从了公司的建议，而这些组织最终可能会在未来的路上付出更高的代价。

中国的APT(高级威胁组织)不仅仅是为了收集情报或政治网络间谍而侵入外国目标(公司，政府组织，大学)。他们还窃取了知识产权，这些知识产权多次落入中国竞争对手的手中，在未来几年以许多人没想到的方式伤害被黑客入侵的公司。