最近Pulse Secure VPN安全漏洞CVE-2021-22893的新聞很大，這次的零時差漏洞CVE-2021-22893目前無法修補，僅有暫時的補救辦法，預計要等到五月才會有修補程式，駭客也已經開採Pulse Secure漏洞，而且疫情期間VPN對於員工是否能遠端工作十分重要，為求穩定性與可用性(Availability)，往往不能隨意變更設定，想要排時間修補也很困難；在老闆持續追問、希望公司企業本身不會遇駭的情況下，想靠現有的Check Point產品阻止攻擊。身為Check Point系統的管理員，遇到類似零時差漏洞，該如何保護公司企業網路安全呢?以下將藉由這次安全漏洞CVE-2021-22893為例，紀錄、說明身為管理員的標準作業流程（SOP）也希望大家一起討論、提供使用經驗及防護方法。

1.蒐集資料，確認影響

NIST網路安全框架第一項便是識別（Identify），首先我們要搜尋相關資料，了解安全漏洞的影響，確認企業網路環境內是否有會受影響的產品。例如這次的安全漏洞CVE-2021-22893影響Pulse Secure VPN產品，若是有使用Pulse Secure VPN便需要閱讀相關資料，了解該如何修補、如何暫時做補救措施、或者從網路、端點或邊界層面防範。

ITHOME的報導很詳盡：《中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊》
https://www.ithome.com.tw/news/143971

Fireeye 也有一篇很詳盡的文章說明，包含處理方法和相關資源:“Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day”

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques...

Pulse Secure原廠的官方文章詳細地提供暫時補救辦法，還有檢查工具，讓用戶檢查是否已經受到危害

Pulse Security Advisory: SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerab...

即便沒有使用該產品，有時候類似的零時差安全漏洞，可能會在接下來的一段時間內，從同類型產品上被挖出來，今天是Pulse Secure VPN，難保類似的攻擊手法不會被用在Cisco甚至別廠牌的VPN，我們依然要持續關注相關新聞報導。

2.確認是否需要更新、調整IPS Protection

在蒐集資料的過程中，相信大家會找Check Point的網站 supportcenter.checkpoint.com 是否有相關文件資料。最近幾次資安事件，英文的CheckMates論壇常常見到有人直接貼CVE問什麼時候會出新的IPS Protection？其實可以透過Check Point Research 網站https://research.checkpoint.com/ 輸入CVE編號搜尋，可能是一個新的IPS Protection，也有可能是更新原有的一個IPS Protection。這一波攻擊共開採了Pulse Connect Secure的4個安全漏洞，但除了零時差漏洞CVE-2021-22893外，其餘的都是舊的漏洞，例如CVE-2019-11510，從Check Point Research 網站可以查到，已經有一個對應的Pulse Connect Secure File Disclosure (CVE-2019-11510)；另一個開採的漏洞CVE-2020-8260也包括在Web Servers Malicious URL Directory Traversal這個IPS Protection之下。

當相對應的IPS Protection出現後，怎麼確認是否有更新呢?從SmartConsole切換Security Policies頁籤，點選Threat Prevention policy，點選下方的IPS Protectections的連結，再從上方的搜尋列，我們照樣輸入CVE編號，就可以看到相對應的IPS Protection。如果Check Point Research網站顯示有對應的IPS Protection發布，卻不在這個頁面，那就要確認是否有收到更新。有買授權嗎?License正確嗎?Gateway可以對外連接收到更新嗎?這些需要進一步確認，甚至詢問TAC/Support。

有了IPS Protection，還要確認是否設定為Prevent，或是針對企業網路環境做更細部調整。我有見過雖然收到更新，但是IPS Protection並不是設為Prevent，而僅只是Detect的情況，後來發現是因為Profiles設定的關係。

最後，記得Publish這些改變，然後Install Policy，我真的見過忙了很久，按下Publish就以為結束的情況。

3.考慮匯入Snort Rule

萬一真的是沒有相對應的IPS Protection，可以考慮匯入Snort Rule先進行初步的防護，等Check Point釋出相對應的IPS Protection再刪除。Threat Prevention Administration Guide文件裡面有寫匯入Snort Rule的步驟，或者參考這篇文章”New Exploits for Unsecure SAP Systems, How to import Snort rule” 裡面有清楚的教學

https://community.checkpoint.com/t5/Taiwan-%E8%AB%96%E5%A3%87/New-Exploits-for-Unsecure-SAP-Systems-...

這波Pulse Secure VPN的攻擊，Fireeye 的Github裡面有發布相關Snort Rule，也有持續更新
https://github.com/fireeye/pulsesecure_exploitation_countermeasures/

需要注意匯入的Snort Rule有預設值，Severity = High、Confidence = Medium-Low、Performance Impact = High，若需要調整可以參考sk113895的說明；另外建議對Snort Rule熟悉的話，可以依照自身企業網路環境加以調整來改善效能，畢竟很多攻擊都是針對特定伺服器才有效，這波的攻擊是針對Pulse Secure VPN伺服器， Snort規則用any any -> any範圍太廣泛，集中檢視往Pulse Secure VPN伺服器的流量就足夠了。

4.考慮HTTPS Inspection

最後來談談HTTPS Inspection，對於這項功能，支持者和反對者都有，撇開技術上、好用不好用的問題，很多時候即使有IPS Protection，或匯入Snort Rules，如果沒有HTTPS Inspection、無法檢視HTTPS流量，便無法偵測、防禦，所以HTTPS Inspection還是需要的。從R80.40開始HTTPS Inspection和Access Control、Threat Prevention其他政策一樣 可以直接在Smart Console設定，不妨試試更新至R80.40以上，至少針對進入特定DMZ伺服器的流量開始做HTTPS Inspection，或訂定計畫逐步增加可視度(Visibility)。