一種新的攻擊悄無(wú)聲息地出現(xiàn)在公司門戶上。安全研究人員說(shuō)，攻擊者通過(guò)感染思科公司所出售的一個(gè)虛擬專用網(wǎng)絡(luò)產(chǎn)品來(lái)收集用戶名和用于登錄到公司網(wǎng)絡(luò)密碼的后門。

安全公司volexity的研究員說(shuō)，他發(fā)現(xiàn)一些成功感染思科客戶端SSL VPN的案例，可能還有更多。這些攻擊中大概至少使用了2個(gè)單獨(dú)入口點(diǎn)。一旦后門設(shè)置好，就只需要靜靜等待它收集員工登錄憑證。

思科網(wǎng)絡(luò)VPN

思科無(wú)客戶端SSL VPN(Web VPN)是一個(gè)基于Web的門戶網(wǎng)站，可以應(yīng)用在公司的Cisco自適應(yīng)安全設(shè)備(ASA)上。思科網(wǎng)絡(luò)VPN不需要客戶端，它完全是通過(guò)最終用戶的瀏覽器訪問(wèn)。一旦用戶通過(guò)認(rèn)證，基于web的VPN就會(huì)允許用戶訪問(wèn)內(nèi)部網(wǎng)頁(yè)、內(nèi)部文件并允許他們通過(guò)Telnet、SSH Web或類似的網(wǎng)絡(luò)協(xié)議連接到其他內(nèi)部資源。普通用戶可以通過(guò)類似圖1顯示的思科網(wǎng)絡(luò)VPN接口進(jìn)入。

volexity研究人員在博客上寫(xiě)到：

“這肯定不是你希望攻擊者能獲得訪問(wèn)的，”“不幸的是，我們發(fā)現(xiàn)一些公司已經(jīng)偷偷地被攻擊了。”

研究人員在一個(gè)公司發(fā)現(xiàn)思科所出售的秘密攻擊網(wǎng)絡(luò)路由器。這種路由器后門已被安裝在至少79個(gè)設(shè)備上。惡意軟件可以支持多達(dá)100個(gè)模塊，攻擊者可遠(yuǎn)程控制那些被感染的設(shè)備。

不過(guò)安裝在Cisco VPN的后門，相比之下還不完善。它只是將惡意的JavaScript代碼加載到員工登陸的網(wǎng)頁(yè)。不過(guò)因?yàn)镴avaScript托管在外部網(wǎng)站而且又通過(guò)HTTPS加密連接訪問(wèn)，其隱蔽性還是相對(duì)較強(qiáng)。

cve-2014-3393漏洞利用

研究人員說(shuō)，后門安裝至少通過(guò)兩個(gè)不同的切入點(diǎn)。首先是利用出現(xiàn)在客戶端SSL VPN的一個(gè)大漏洞。另一個(gè)則是攻擊者通過(guò)其他手段獲取管理員訪問(wèn)并使用它來(lái)加載惡意代碼。

Volexity發(fā)現(xiàn)早在2014年11月思科網(wǎng)絡(luò)VPN登錄頁(yè)面就開(kāi)始被濫用了。黑客利用cve-2014-3393——思科無(wú)客戶端SSL VPN中的一個(gè)漏洞進(jìn)行他們的壞動(dòng)作。這個(gè)漏洞最初是由Alec Stuart-Muirk報(bào)道出來(lái)并在2014年10月思科獲知后還發(fā)布了一個(gè)關(guān)于這個(gè)漏洞的開(kāi)發(fā)通知。

這個(gè)漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者隨意修改SSL VPN門戶的內(nèi)容，進(jìn)行攻擊竊取憑據(jù)、跨站腳本攻擊(XSS)以及其他Web攻擊。

由于SSL VPN門戶定制框架的認(rèn)證檢查的操作不當(dāng)導(dǎo)致出現(xiàn)這個(gè)漏洞。攻擊者可以利用這個(gè)漏洞修改一些特定對(duì)象的RAMFS緩存文件系統(tǒng)。

受感染的組織中有智囊團(tuán)、大學(xué)和學(xué)術(shù)機(jī)構(gòu)、跨國(guó)電子產(chǎn)品制造商和非政府組織。為了逃避檢測(cè)，文件1.js(惡意的JavaScript)被托管在一個(gè)非政府組織的網(wǎng)站，該網(wǎng)站還利用一個(gè)有效的SSL證書(shū)，這讓所有的通信加密。文件1.js是一個(gè)在線腳本稱為“xss.js”，旨在竊取數(shù)據(jù)。這些網(wǎng)站事先被攻擊破壞了，再將HTML IFRAME標(biāo)簽插入到被破壞的VPN網(wǎng)頁(yè)。然后VPN就會(huì)連接到被攻擊的非政府組織網(wǎng)站，通過(guò)加密連接下載JavaScript。

鎖定日本政府和高技術(shù)產(chǎn)業(yè)

Volexity發(fā)現(xiàn)其中日本政府和高新技術(shù)產(chǎn)業(yè)很多都受到了攻擊。多個(gè)日本的組織被破壞了而且其思科網(wǎng)絡(luò)VPN門戶被加載了額外的JavaScript代碼。

在這些攻擊中的JavaScript鏈接到一個(gè)稱為scanbox的惡意軟件。Scanbox經(jīng)常被用來(lái)收集關(guān)于用戶的信息訪問(wèn)受感染的網(wǎng)站。特別的是，通過(guò)收集用戶瀏覽器和軟件安裝的信息，該軟件會(huì)對(duì)目標(biāo)和特定的軟件進(jìn)行攻擊。當(dāng)一個(gè)員工正在訪問(wèn)他們的Web VPN時(shí) Scanbox還會(huì)捕獲擊鍵和Cookie數(shù)據(jù)。

[[151730]]

圖中代碼只是顯示了一小部分的Scanbox鍵盤記錄插件。而日本政府和高技術(shù)產(chǎn)業(yè)的思科網(wǎng)絡(luò)VPN的Scanbox代碼是用來(lái)記錄用戶訪問(wèn)服務(wù)記錄。

結(jié)論

攻擊者正在不斷尋找新的方法通過(guò)網(wǎng)絡(luò)的漏洞獲取利益，這個(gè)問(wèn)題不僅僅是思科網(wǎng)絡(luò)VPN。任何其他的VPN，Web服務(wù)器，或設(shè)備都有一定的風(fēng)險(xiǎn)。