Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Cyber_Serge
Collaborator

從Pulse Secure VPN安全漏洞來看Check Point管理員的防護SOP

最近Pulse Secure VPN安全漏洞CVE-2021-22893的新聞很大,這次的零時差漏洞CVE-2021-22893目前無法修補,僅有暫時的補救辦法,預計要等到五月才會有修補程式,駭客也已經開採Pulse Secure漏洞,而且疫情期間VPN對於員工是否能遠端工作十分重要,為求穩定性與可用性(Availability),往往不能隨意變更設定,想要排時間修補也很困難;在老闆持續追問、希望公司企業本身不會遇駭的情況下,想靠現有的Check Point產品阻止攻擊。身為Check Point系統的管理員,遇到類似零時差漏洞,該如何保護公司企業網路安全呢?以下將藉由這次安全漏洞CVE-2021-22893為例,紀錄、說明身為管理員的標準作業流程(SOP也希望大家一起討論、提供使用經驗及防護方法。

1.蒐集資料,確認影響

NIST網路安全框架第一項便是識別(Identify),首先我們要搜尋相關資料,了解安全漏洞的影響,確認企業網路環境內是否有會受影響的產品。例如這次的安全漏洞CVE-2021-22893影響Pulse Secure VPN產品,若是有使用Pulse Secure VPN便需要閱讀相關資料,了解該如何修補、如何暫時做補救措施、或者從網路、端點或邊界層面防範。

ITHOME的報導很詳盡:《中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊》
https://www.ithome.com.tw/news/143971

Fireeye 也有一篇很詳盡的文章說明,包含處理方法和相關資源:“Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day”

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques...

Pulse Secure原廠的官方文章詳細地提供暫時補救辦法,還有檢查工具,讓用戶檢查是否已經受到危害

Pulse Security Advisory: SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerab...

即便沒有使用該產品,有時候類似的零時差安全漏洞,可能會在接下來的一段時間內,從同類型產品上被挖出來,今天是Pulse Secure VPN,難保類似的攻擊手法不會被用在Cisco甚至別廠牌的VPN,我們依然要持續關注相關新聞報導。

2.確認是否需要更新、調整IPS Protection

在蒐集資料的過程中,相信大家會找Check Point的網站 supportcenter.checkpoint.com 是否有相關文件資料。最近幾次資安事件,英文的CheckMates論壇常常見到有人直接貼CVE問什麼時候會出新的IPS Protection?其實可以透過Check Point Research 網站https://research.checkpoint.com/ 輸入CVE編號搜尋,可能是一個新的IPS Protection,也有可能是更新原有的一個IPS Protection。這一波攻擊共開採了Pulse Connect Secure的4個安全漏洞,但除了零時差漏洞CVE-2021-22893外,其餘的都是舊的漏洞,例如CVE-2019-11510,從Check Point Research 網站可以查到,已經有一個對應的Pulse Connect Secure File Disclosure (CVE-2019-11510);另一個開採的漏洞CVE-2020-8260也包括在Web Servers Malicious URL Directory Traversal這個IPS Protection之下。

當相對應的IPS Protection出現後,怎麼確認是否有更新呢?從SmartConsole切換Security Policies頁籤,點選Threat Prevention policy,點選下方的IPS Protectections的連結,再從上方的搜尋列,我們照樣輸入CVE編號,就可以看到相對應的IPS Protection。如果Check Point Research網站顯示有對應的IPS Protection發布,卻不在這個頁面,那就要確認是否有收到更新。有買授權嗎?License正確嗎?Gateway可以對外連接收到更新嗎?這些需要進一步確認,甚至詢問TAC/Support。

有了IPS Protection,還要確認是否設定為Prevent,或是針對企業網路環境做更細部調整。我有見過雖然收到更新,但是IPS Protection並不是設為Prevent,而僅只是Detect的情況,後來發現是因為Profiles設定的關係。

最後,記得Publish這些改變,然後Install Policy,我真的見過忙了很久,按下Publish就以為結束的情況。

3.考慮匯入Snort Rule

萬一真的是沒有相對應的IPS Protection,可以考慮匯入Snort Rule先進行初步的防護,等Check Point釋出相對應的IPS Protection再刪除。Threat Prevention Administration Guide文件裡面有寫匯入Snort Rule的步驟,或者參考這篇文章”New Exploits for Unsecure SAP Systems, How to import Snort rule” 裡面有清楚的教學

https://community.checkpoint.com/t5/Taiwan-%E8%AB%96%E5%A3%87/New-Exploits-for-Unsecure-SAP-Systems-...

這波Pulse Secure VPN的攻擊,Fireeye 的Github裡面有發布相關Snort Rule,也有持續更新
https://github.com/fireeye/pulsesecure_exploitation_countermeasures/

需要注意匯入的Snort Rule有預設值,Severity = High、Confidence = Medium-Low、Performance Impact = High,若需要調整可以參考sk113895的說明;另外建議對Snort Rule熟悉的話,可以依照自身企業網路環境加以調整來改善效能,畢竟很多攻擊都是針對特定伺服器才有效,這波的攻擊是針對Pulse Secure VPN伺服器, Snort規則用any any -> any範圍太廣泛,集中檢視往Pulse Secure VPN伺服器的流量就足夠了。

4.考慮HTTPS Inspection

最後來談談HTTPS Inspection,對於這項功能,支持者和反對者都有,撇開技術上、好用不好用的問題,很多時候即使有IPS Protection,或匯入Snort Rules,如果沒有HTTPS Inspection、無法檢視HTTPS流量,便無法偵測、防禦,所以HTTPS Inspection還是需要的。從R80.40開始HTTPS Inspection和Access Control、Threat Prevention其他政策一樣 可以直接在Smart Console設定,不妨試試更新至R80.40以上,至少針對進入特定DMZ伺服器的流量開始做HTTPS Inspection,或訂定計畫逐步增加可視度(Visibility)。

1 Reply
Cyber_Serge
Collaborator

希望這次記錄下來的四個步驟有幫助,若是覺得需要增加幾個步驟,或有類似經驗分享,也歡迎一起來討論喔~

Upcoming Events

    CheckMates Events