一種新的攻擊悄無聲息地出現(xiàn)在公司門戶上。安全研究人員說，攻擊者通過感染思科公司所出售的一個虛擬專用網(wǎng)絡產(chǎn)品來收集用戶名和用于登錄到公司網(wǎng)絡密碼的后門。

安全公司volexity的研究員說，他發(fā)現(xiàn)一些成功感染思科客戶端SSL VPN的案例，可能還有更多。這些攻擊中大概至少使用了2個單獨入口點。一旦后門設置好，就只需要靜靜等待它收集員工登錄憑證。

思科網(wǎng)絡VPN

思科無客戶端SSL VPN(Web VPN)是一個基于Web的門戶網(wǎng)站，可以應用在公司的Cisco自適應安全設備(ASA)上。思科網(wǎng)絡VPN不需要客戶端，它完全是通過最終用戶的瀏覽器訪問。一旦用戶通過認證，基于web的VPN就會允許用戶訪問內(nèi)部網(wǎng)頁、內(nèi)部文件并允許他們通過Telnet、SSH Web或類似的網(wǎng)絡協(xié)議連接到其他內(nèi)部資源。普通用戶可以通過類似圖1顯示的思科網(wǎng)絡VPN接口進入。

volexity研究人員在博客上寫到：

“這肯定不是你希望攻擊者能獲得訪問的，”“不幸的是，我們發(fā)現(xiàn)一些公司已經(jīng)偷偷地被攻擊了。”

研究人員在一個公司發(fā)現(xiàn)思科所出售的秘密攻擊網(wǎng)絡路由器。這種路由器后門已被安裝在至少79個設備上。惡意軟件可以支持多達100個模塊，攻擊者可遠程控制那些被感染的設備。

不過安裝在Cisco VPN的后門，相比之下還不完善。它只是將惡意的JavaScript代碼加載到員工登陸的網(wǎng)頁。不過因為JavaScript托管在外部網(wǎng)站而且又通過HTTPS加密連接訪問，其隱蔽性還是相對較強。

cve-2014-3393漏洞利用

研究人員說，后門安裝至少通過兩個不同的切入點。首先是利用出現(xiàn)在客戶端SSL VPN的一個大漏洞。另一個則是攻擊者通過其他手段獲取管理員訪問并使用它來加載惡意代碼。

Volexity發(fā)現(xiàn)早在2014年11月思科網(wǎng)絡VPN登錄頁面就開始被濫用了。黑客利用cve-2014-3393——思科無客戶端SSL VPN中的一個漏洞進行他們的壞動作。這個漏洞最初是由Alec Stuart-Muirk報道出來并在2014年10月思科獲知后還發(fā)布了一個關于這個漏洞的開發(fā)通知。

這個漏洞允許未經(jīng)身份驗證的遠程攻擊者隨意修改SSL VPN門戶的內(nèi)容，進行攻擊竊取憑據(jù)、跨站腳本攻擊(XSS)以及其他Web攻擊。

由于SSL VPN門戶定制框架的認證檢查的操作不當導致出現(xiàn)這個漏洞。攻擊者可以利用這個漏洞修改一些特定對象的RAMFS緩存文件系統(tǒng)。

受感染的組織中有智囊團、大學和學術機構、跨國電子產(chǎn)品制造商和非政府組織。為了逃避檢測，文件1.js(惡意的JavaScript)被托管在一個非政府組織的網(wǎng)站，該網(wǎng)站還利用一個有效的SSL證書，這讓所有的通信加密。文件1.js是一個在線腳本稱為“xss.js”，旨在竊取數(shù)據(jù)。這些網(wǎng)站事先被攻擊破壞了，再將HTML IFRAME標簽插入到被破壞的VPN網(wǎng)頁。然后VPN就會連接到被攻擊的非政府組織網(wǎng)站，通過加密連接下載JavaScript。

鎖定日本政府和高技術產(chǎn)業(yè)

Volexity發(fā)現(xiàn)其中日本政府和高新技術產(chǎn)業(yè)很多都受到了攻擊。多個日本的組織被破壞了而且其思科網(wǎng)絡VPN門戶被加載了額外的JavaScript代碼。

在這些攻擊中的JavaScript鏈接到一個稱為scanbox的惡意軟件。Scanbox經(jīng)常被用來收集關于用戶的信息訪問受感染的網(wǎng)站。特別的是，通過收集用戶瀏覽器和軟件安裝的信息，該軟件會對目標和特定的軟件進行攻擊。當一個員工正在訪問他們的Web VPN時 Scanbox還會捕獲擊鍵和Cookie數(shù)據(jù)。

[[151730]]

圖中代碼只是顯示了一小部分的Scanbox鍵盤記錄插件。而日本政府和高技術產(chǎn)業(yè)的思科網(wǎng)絡VPN的Scanbox代碼是用來記錄用戶訪問服務記錄。

結論

攻擊者正在不斷尋找新的方法通過網(wǎng)絡的漏洞獲取利益，這個問題不僅僅是思科網(wǎng)絡VPN。任何其他的VPN，Web服務器，或設備都有一定的風險。