最新消息:VPN推荐网致力打造最全最靠谱的VPN推广站.

突现后门?!cisco VPN

关于VPN vpntuijian 1280浏览 0评论

一种新的进犯悄然无声地呈现在公司门户上。安全研究人员说,进犯者经过感染思科公司所出售的一个虚拟专用网络产品来搜集用户名和用于登录到公司网络暗码的后门。

安全公司volexity的研究员说,他发现一些成功感染思科客户端SSL VPN的案例,可能还有更多。这些进犯中大约最少使用了2个单独进口点。一旦后门设置好,就只需求静静等候它搜集职工登录凭证。

思科网络VPN

思科无客户端SSL VPN(Web VPN)是一个根据Web的门户网站,能够应用在公司的Cisco自适应安全设备(ASA)上。思科网络VPN不需求客户端,它完全是经过最终用户的浏览器拜访。一旦用户经过认证,根据web的VPN就会答应用户拜访内部页面、内部文件并答应他们经过Telnet、SSH Web或相似的网络协议衔接到别的内部资源。普通用户能够经过相似图1显现的思科网络VPN接口进入。

20160809154749

 

volexity研究人员在博客上写到:

“这肯定不是你期望进犯者能取得拜访的,”“不幸的是,咱们发现一些公司现已偷偷地被进犯了。”
研究人员在一个公司发现思科所出售的隐秘进犯网络路由器。这种路由器后门已被装置在最少79个设备上。歹意软件能够支撑多达100个模块,进犯者可长途操控那些被感染的设备。

不过装置在Cisco VPN的后门,相比之下还不完善。它仅仅将歹意的JavaScript代码加载到职工登入的页面。不过由于JavaScript保管在外部网站并且又经过HTTPS加密衔接拜访,其隐蔽性还是相对较强。

cve-2014-3393缝隙使用

研究人员说,后门装置最少经过两个不一样的切入点。首先是使用呈现在客户端SSL VPN的一个大缝隙。另一个则是进犯者经过别的手法获取管理员拜访并使用它来加载歹意代码。

Volexity发现早在2014年11月思科网络VPN登录页面就开端被滥用了。黑客使用cve-2014-3393——思科无客户端SSL VPN中的一个缝隙进行他们的坏动作。这个缝隙开始是由Alec Stuart-Muirk报导出来并在2014年10月思科获悉后还发布了一个关于这个缝隙的开发告诉。

这个缝隙答应未经身份验证的长途进犯者随意修正SSL VPN门户的内容,进行进犯盗取凭证、跨站脚本进犯(XSS)以及别的Web进犯。

由于SSL VPN门户定制框架的认证查看的操作不当致使呈现这个缝隙。进犯者能够使用这个缝隙修正一些特定方针的RAMFS缓存文件系统。

受感染的安排中有智囊团、大学和学术安排、跨国电子产品制造商和非政府安排。为了躲避检查,文件1.js(歹意的JavaScript)被保管在一个非政府安排的网站,该网站还使用一个有用的SSL证书,这让一切的通讯加密。文件1.js是一个在线脚本称为“xss.js”,旨在盗取数据。这些网站事前被进犯破坏了,再将HTML IFRAME标签插入到被破坏的VPN页面。然后VPN就会衔接到被进犯的非政府安排网站,经过加密衔接下载JavaScript。

思科2

确定日本政府和高技术产业

Volexity发现其间日本政府和高新技术产业许多都受到了进犯。多个日本的安排被破坏了并且其思科网络VPN门户被加载了额外的JavaScript代码。

思科3

在这些进犯中的JavaScript链接到一个称为scanbox的歹意软件。Scanbox经常被用来搜集关于用户的信息拜访受感染的网站。特别的是,经过搜集用户浏览器和软件装置的信息,该软件会对方针和特定的软件进行进犯。当一个职工正在拜访他们的Web VPN时 Scanbox还会捕获击键和Cookie数据。

思科4

思科5图中代码仅仅显现了一小部分的Scanbox键盘记载插件。而日本政府和高技术产业的思科网络VPN的Scanbox代码是用来记载用户拜访效劳记载。

定论

进犯者正在不断寻找新的办法经过网络的缝隙获取利益,这个疑问不仅仅是思科网络VPN。任何别的的VPN,Web效劳器,或设备都有一定的危险。

转载请注明:VPN推荐网 » 突现后门?!cisco VPN

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址