近期多家VPN設備資安漏洞,相關單位應立即檢視以降低資安威脅
- 發布單位:TWCERT/CC
- 更新日期:2020-03-24
- 點閱次數:4231

去年(2019)8月下旬發現Pulse Secure公司之VPN產品的資安漏洞,並已取得CVE-2019-11539之漏洞編號,本中心立即通報國內使用該產品之相關單位,其所涵蓋行業別相當廣泛,顯示出VPN系統可能已成為攻擊者的重要目標之一。
近期Citrix公司之VPN產品也被發現資安漏洞,有心人士可透過該漏洞在不需經身份驗證情況下執行任意程式。也就是攻擊者可透過網際網路,直接入侵單位的內部網路,並透過該漏洞進行相關攻擊行為。該漏洞已取得CVE編號CVE-2019-19781並公佈,而Citrix公司也已針對該漏洞提供即時的緩解方案,並且盡力修補並提出新版本中。
由於此兩次VPN設備存在之資安漏洞,均可讓攻擊者不須驗證其身份即可進入單位的內部網路,竊取相關資訊,且影響範圍遍及全球。
因此針對任何有使用VPN設備之相關單位,即便自身所使用之設備並非遭通報需處理之廠商或型號,建議都應立即嚴格審視VPN系統之安全性並加以防範,以避免未來可能遭受的資安攻擊。