- Products
- Learn
- Local User Groups
- Partners
- More
Check Point Jump-Start Online Training
Now Available on CheckMates for Beginners!
Why do Hackers Love IoT Devices so Much?
Join our TechTalk on Aug 17, at 5PM CET | 11AM EST
Welcome to Maestro Masters!
Talk to Masters, Engage with Masters, Be a Maestro Master!
ZTNA Buyer’s Guide
Zero Trust essentials for your most valuable assets
The SMB Cyber Master
Boost your knowledge on Quantum Spark SMB gateways!
As YOU DESERVE THE BEST SECURITY
Upgrade to our latest GA Jumbo
CheckFlix!
All Videos In One Space
最近Pulse Secure VPN安全漏洞CVE-2021-22893的新聞很大,這次的零時差漏洞CVE-2021-22893目前無法修補,僅有暫時的補救辦法,預計要等到五月才會有修補程式,駭客也已經開採Pulse Secure漏洞,而且疫情期間VPN對於員工是否能遠端工作十分重要,為求穩定性與可用性(Availability),往往不能隨意變更設定,想要排時間修補也很困難;在老闆持續追問、希望公司企業本身不會遇駭的情況下,想靠現有的Check Point產品阻止攻擊。身為Check Point系統的管理員,遇到類似零時差漏洞,該如何保護公司企業網路安全呢?以下將藉由這次安全漏洞CVE-2021-22893為例,紀錄、說明身為管理員的標準作業流程(SOP)也希望大家一起討論、提供使用經驗及防護方法。
1.蒐集資料,確認影響
NIST網路安全框架第一項便是識別(Identify),首先我們要搜尋相關資料,了解安全漏洞的影響,確認企業網路環境內是否有會受影響的產品。例如這次的安全漏洞CVE-2021-22893影響Pulse Secure VPN產品,若是有使用Pulse Secure VPN便需要閱讀相關資料,了解該如何修補、如何暫時做補救措施、或者從網路、端點或邊界層面防範。
ITHOME的報導很詳盡:《中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊》
https://www.ithome.com.tw/news/143971
Fireeye 也有一篇很詳盡的文章說明,包含處理方法和相關資源:“Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day”
Pulse Secure原廠的官方文章詳細地提供暫時補救辦法,還有檢查工具,讓用戶檢查是否已經受到危害
即便沒有使用該產品,有時候類似的零時差安全漏洞,可能會在接下來的一段時間內,從同類型產品上被挖出來,今天是Pulse Secure VPN,難保類似的攻擊手法不會被用在Cisco甚至別廠牌的VPN,我們依然要持續關注相關新聞報導。
2.確認是否需要更新、調整IPS Protection
在蒐集資料的過程中,相信大家會找Check Point的網站 supportcenter.checkpoint.com 是否有相關文件資料。最近幾次資安事件,英文的CheckMates論壇常常見到有人直接貼CVE問什麼時候會出新的IPS Protection?其實可以透過Check Point Research 網站https://research.checkpoint.com/ 輸入CVE編號搜尋,可能是一個新的IPS Protection,也有可能是更新原有的一個IPS Protection。這一波攻擊共開採了Pulse Connect Secure的4個安全漏洞,但除了零時差漏洞CVE-2021-22893外,其餘的都是舊的漏洞,例如CVE-2019-11510,從Check Point Research 網站可以查到,已經有一個對應的Pulse Connect Secure File Disclosure (CVE-2019-11510);另一個開採的漏洞CVE-2020-8260也包括在Web Servers Malicious URL Directory Traversal這個IPS Protection之下。
當相對應的IPS Protection出現後,怎麼確認是否有更新呢?從SmartConsole切換Security Policies頁籤,點選Threat Prevention policy,點選下方的IPS Protectections的連結,再從上方的搜尋列,我們照樣輸入CVE編號,就可以看到相對應的IPS Protection。如果Check Point Research網站顯示有對應的IPS Protection發布,卻不在這個頁面,那就要確認是否有收到更新。有買授權嗎?License正確嗎?Gateway可以對外連接收到更新嗎?這些需要進一步確認,甚至詢問TAC/Support。
有了IPS Protection,還要確認是否設定為Prevent,或是針對企業網路環境做更細部調整。我有見過雖然收到更新,但是IPS Protection並不是設為Prevent,而僅只是Detect的情況,後來發現是因為Profiles設定的關係。
最後,記得Publish這些改變,然後Install Policy,我真的見過忙了很久,按下Publish就以為結束的情況。
3.考慮匯入Snort Rule
萬一真的是沒有相對應的IPS Protection,可以考慮匯入Snort Rule先進行初步的防護,等Check Point釋出相對應的IPS Protection再刪除。Threat Prevention Administration Guide文件裡面有寫匯入Snort Rule的步驟,或者參考這篇文章”New Exploits for Unsecure SAP Systems, How to import Snort rule” 裡面有清楚的教學
這波Pulse Secure VPN的攻擊,Fireeye 的Github裡面有發布相關Snort Rule,也有持續更新
https://github.com/fireeye/pulsesecure_exploitation_countermeasures/
需要注意匯入的Snort Rule有預設值,Severity = High、Confidence = Medium-Low、Performance Impact = High,若需要調整可以參考sk113895的說明;另外建議對Snort Rule熟悉的話,可以依照自身企業網路環境加以調整來改善效能,畢竟很多攻擊都是針對特定伺服器才有效,這波的攻擊是針對Pulse Secure VPN伺服器, Snort規則用any any -> any範圍太廣泛,集中檢視往Pulse Secure VPN伺服器的流量就足夠了。
4.考慮HTTPS Inspection
最後來談談HTTPS Inspection,對於這項功能,支持者和反對者都有,撇開技術上、好用不好用的問題,很多時候即使有IPS Protection,或匯入Snort Rules,如果沒有HTTPS Inspection、無法檢視HTTPS流量,便無法偵測、防禦,所以HTTPS Inspection還是需要的。從R80.40開始HTTPS Inspection和Access Control、Threat Prevention其他政策一樣 可以直接在Smart Console設定,不妨試試更新至R80.40以上,至少針對進入特定DMZ伺服器的流量開始做HTTPS Inspection,或訂定計畫逐步增加可視度(Visibility)。
希望這次記錄下來的四個步驟有幫助,若是覺得需要增加幾個步驟,或有類似經驗分享,也歡迎一起來討論喔~
About CheckMates
Learn Check Point
Advanced Learning
YOU DESERVE THE BEST SECURITY