曾几何时，防火墙、VPN网关等安全服务被人们广泛视为安全性的“坚固堡垒”，其地位近乎于不可撼动的安全象征。然而，现实却揭示了一个不容忽视的真相：这些服务远非能够百分之百地保障设备安全无虞。相反这些安全服务自身的同样潜藏着诸多安全漏洞。这些曾经被忽视的边缘服务如同一颗颗深埋地下的“雷”，如今这些“雷”正在被黑客一一引爆。

根据 WithSecure 发布的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。WithSecure 在分析了边缘服务和基础设施漏洞不同于已知漏洞（KEV）目录中其他漏洞的一些趋势后发现，在过去几个月中，KEV 列表中新增的边缘服务和基础设施漏洞比常规漏洞要多。

与2023年相比，2024年每月加入KEV列表的常见漏洞和暴露（CVE）数量下降了56%，但同期每月加入的边缘服务和基础设施CVE增加了22%。

在已知被利用的漏洞目录（KEV）中，64%的所有边缘服务和基础设施常见漏洞和暴露（CVEs）位于EPSS（基于漏洞利用可能性的评分）得分的97.5百分位以上，而在KEV中，只有23%的其他漏洞位于97.5百分位以上。

在过去三年中，每月被利用漏洞的总体趋势并不一致，相比之下，每月被利用的边缘漏洞自 2022 年以来持续上升。

图源：《The vulnerable edge of enterprise security》报告

在过去两年中，添加到KEV的边缘服务和基础设施漏洞的严重性平均比其他漏洞高11%。更为夸张的是，近两年边缘服务被黑客大规模利用的比例甚至一度超过僵尸网络，已然占据勒索软件事件的“主力”。

为何边缘性服务总是被黑客盯上？

在探讨边缘性服务的脆弱性之前，我们不妨先来思考一下，为什么VPN网关、托管文件传输服务器、远程访问服务器等等边缘服务成为黑客攻击的目标？

具体来看，关键原因主要有三个：首先，边缘服务极易被人忽视。一些组织或企业可能过于关注边缘服务的业务功能和应用场景，而忽视了其潜在的安全风险。其次，边缘性服务的安全性由供应商定义，大家潜意识里会默认其安全性是有所保障的，但实际上却存在诸多安全隐患，例如防火墙、安全网关等通常都会被人们认为是很安全的，但实则不然，多年来针对这些服务的攻击事件时有发生。与此同时，边缘服务作为访问通道，一旦被黑客成功攻入，就能“堂而皇之”地进入企业内部，进一步横向移动获取敏感权限，窃取大量有价值的信息。这种极具“诱惑力”的高额收益对于攻击者来说也十分有吸引力。

边缘服务作为安装在网络边缘的软件，可以从互联网和内部网络访问。这些被利用的边缘服务通常安装在基础设施设备上，而这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。这就导致边缘性服务极易成为黑客入侵网络的完美初始接入点，存在巨大的安全隐患，可以说是黑客眼中的一块“肥肉”。

此外，边缘服务通常用于访问存储在网络中的数据或网络本身，与用户设备相比，这类服务的保护和安全监控似乎没有那么严密。当其向用户提供服务时，难免需要用户进行远程输入，这使得它极易受到多种不同类型的漏洞攻击，因此边缘服务是攻击者进入网络的最佳初始接入点。

即使网络管理员通常会限制终端用户的权限和访问，但服务器软件常以超出实际需要的权限运行，甚至以 root 或 Administrator 用户身份运行的情况都非常普遍。

因此边缘服务通常可以在不受监控的情况下访问互联网，这无疑为黑客提供了一条快速通道，让他们可以访问服务器上的特权本地或网络凭据，从而广泛地访问内部网络，扫描互联网并识别易受攻击的设备，然后对其进行利用。这也导致攻击者向其他行为者出售被入侵设备/网络的访问权限的情况变得非常普遍。

近些年来，黑客利用边缘性服务的脆弱性发起攻击的事件屡见不鲜。下面我们分别选取了针对VPN网关、思科防火墙、安全网关等比较有代表性的攻击事件，并进行逐一分析。

黑客利用ConnectSecureVPN 网关漏洞窃取凭证

2024 年 1 月，Ivanti 在其 ConnectSecure VPN 网关设备中披露了两个零日漏洞。据调查，该漏洞自2023年12月以来就已被积极利用。

Ivanti Connect Secure （下简称ICS) 是边缘服务基础设施设备，运行轻量级 Linux 操作系统，网络管理员无法直接访问、监控或修改。ICS 设备通常被配置为根据 Active Directory 对用户进行身份验证。据悉，有超过 25000 台 ICS 设备都存在漏洞。该漏洞最初披露时，仅曝出10-20 名受害者，但就在短短几天时间内，受害者数量就上升到了1500人。同时研究人员还发现了更多针对 ICS 设备的不同攻击活动。由于 ICS 设备提供用户认证的 VPN 服务，因此攻击者可以非常轻松地获取用户凭证，并将其用于进一步访问和利用。该漏洞披露的三周后，为保护设备免受入侵，Ivanti 发布了一个缓解工具。但不幸的是，该缓解工具也存在漏洞。虽然它可以重新配置设备以防止漏洞利用，但如果通过集中部署 XML 配置文件向设备推送任何进一步配置，缓解工具就会被移除。这在集中管理和部署此类企业设备的配置极为常见。

今年2月，Eclypsium 的安全研究人员获取了 ICS 操作软件/操作系统镜像，并绕过操作系统和文件系统的限制对其进行检查。他们发现软件和操作系统组件操作系统的Linux 内核已于 2016 年 2 月报废，并且ConnectSecure 图形用户界面的大部分内容都是用 Perl 编写的，而使用的 23 年之久的 Perl 版本也是一个巨大的潜在风险点，因此产品存在漏洞几乎是意料之中的事。

ConnectSecure 设备原本应该是提供安全的、面向互联网的 VPN 连接服务，以保护企业网络和远程用户。然而，事实并非如此。

这些年因 Ivanti ConnectSecure 入侵的受害者不计其数，其中就包括美国政府网络安全和基础设施安全局（CISA）以及网络安全对手战术和技术 ATT&CK 知识库的维护者 MITRE。

一直以来，VPN服务都是黑客攻击的“重灾区”，这主要源于其内在的技术特性和安全机制上的脆弱性。首先，VPN服务通常是通过加密技术保护数据传输的安全性，但加密和解密过程本身会增加数据传输的延迟和降低网络速度。这种性能上的损耗可能使得VPN连接在某些情况下成为攻击者的目标，尤其是在网络带宽不足或硬件配置不高的情况下，VPN连接可能更容易受到干扰或中断。

其次，VPN通过建立加密隧道来传输数据，但隧道的存在也使其成为了攻击者的潜在攻击点。攻击者可能试图通过拦截隧道中的数据包，利用VPN协议的漏洞进行攻击，如中间人攻击（MITM），从而窃取或篡改传输的数据。

此外，VPN多采用“账号+密码”的静态认证方式，这种认证方式相对简单，容易被攻击者通过“弱密码”、“暴力破解”等方式破解。一旦攻击者成功获取了用户的账号和密码，就可以冒充合法用户接入VPN网络，进而访问企业内部资源或窃取敏感信息。VPN的“先连接后认证”机制让设备接入VPN网络之前，其IP和端口已经暴露在互联网上，这就使得攻击者有机会在设备完成认证之前进行攻击，这个机制本身也增加了VPN服务的安全风险。

勒索组织利用思科ASA设备漏洞发起暴力攻击

2023 年，勒索软件组织曾利用思科 ASA 设备的CVE-2023-20269 漏洞入侵了多个组织，并对防火墙进行了无限制的暴力攻击。

2024 年初，勒索组织利用ASA 的早期漏洞 CVE-2020-3259 再次发起大量入侵攻击。据 CISA 称，Akira 在 2023年-2024 年的勒索行动中共获得约4000万美元的赎金。

研究人员发现的最近一次行动是在今年4月，此次发动攻击的间谍组织与此前的多个威胁组织没有关联。

据调查，该组织自2023年7月以来就一直在利用思科 ASA/FTD 设备中的两个零日漏洞（CVE-2024-20353 和 CVE-2024-20359）对防火墙进行初始访问、侦察、流量捕获和渗出。此外，他们还曾针对 Microsoft Exchange 服务器和超过300000台暴露网络基础设施设备发起过攻击行动。

思科ASA设备在全球拥有大量的用户，部署的设备数量超过百万台。由于这些设备在企业网络中扮演着关键角色，因此它们也成为了黑客攻击的重要目标。一旦这些设备被攻破，黑客就可以进一步渗透到企业内部网络，窃取敏感信息或破坏系统。

近年来，思科ASA防火墙软件屡屡曝出缓冲区溢出漏洞，极易被攻击者用于发送特制的网络数据包，从而导致防火墙的缓冲区溢出，进而让黑客执行恶意代码或获取系统控制权。

尽管防火墙技术不断发展，但任何系统都难免存在安全漏洞。黑客会利用这些漏洞来绕过防火墙的安全措施，从而实施攻击。防火墙作为边缘性服务的一种，也是内部网络与外部网络的边界，承担着保护内部网络免受外部网络恶意攻击和入侵的重要职责。它能够严密监视进出边界的数据包信息，阻挡入侵者，并严格限制外部网络对内部网络的访问。因此，防火墙是黑客攻击的首要目标，一旦攻破防火墙，黑客就可以更容易地入侵内部网络。

随着黑客技术的不断发展，黑客们越来越擅长利用各种技术手段来绕过防火墙的防护。例如，黑客可以使用安全扫描技术来检测防火墙的漏洞，或者使用入侵检测技术来实时监视网络系统的安全状况，从而找到攻击的机会。

安全网关ESG漏洞导致10000台设备遭非法访问

2023年5月底，梭子鱼公司宣布其邮件安全网关ESG设备中含有CVE-2023-2868漏洞，可被黑客利用进行APT攻击盗窃数据。该漏洞是一个远程命令注入漏洞，因用户提供的.tar文件的输入验证不完整所致。当文件名以特定方式格式化时，攻击者可以通过QX运算符执行系统命令，QX运算符是Perl编程语言中处理引号的函数。该零日漏洞存在于梭子鱼邮件安全网关（ESG）5.1.3.001至9.2.0.006版本中。

梭子鱼在调查后发现，该漏洞于2022年10月首次被利用，攻击者访问了“ESG设备的一个子集”，并部署了后门用于对受感染系统的持久访问。与此同时，梭子鱼还发现了攻击者从其邮件安全网关设备窃取信息的证据。

考虑到该漏洞的严重性，梭子鱼公司建议所有使用 ESG 设备的客户立即移除、停用和更换这些设备。因为黑客一旦利用了该漏洞，就能轻松入侵ESG设备。而只要遭遇入侵，即便是通过恢复出厂重置设备和擦除存储也将是“无用功”。据统计，在该漏洞被披露后的一周内，大约有 10000 台梭子鱼电子邮件安全网关被非法访问。

由于安全网关在网络安全架构中扮演着至关重要的角色，它不仅是内外网络之间的安全屏障，还负责控制、过滤和监测进出网络的数据流。一旦安全网关被攻破，黑客就可以绕过网络的安全防护，直接访问内部网络，窃取敏感数据或执行恶意操作。

由于攻击安全网关可以为黑客带来巨大的经济利益，因此黑客常常将其作为攻击的对象。黑客可以通过控制安全网关来窃取用户的银行账户信息、信用卡号等敏感数据，进而进行金融欺诈、身份盗窃等犯罪活动。此外，黑客还可以利用安全网关的漏洞来发起勒索软件攻击，要求受害者支付赎金以恢复数据或系统访问权限。在某些情况下，黑客甚至可能出于政治或社会动机而攻击安全网关。比如通过破坏政府或企业的关键基础设施来制造混乱或表达不满等等。

被忽视的边缘服务是一颗“雷”

由于边缘服务是安装在网络边缘的软件，这意味着它们分布在网络的各个角落，包括企业内网、数据中心和物联网设备等。由于这些服务可以直接从互联网和内部网络访问。因此，它们为黑客提供了潜在的攻击点。换句话说，边缘服务的开放性使其更易于被外部实体访问和使用，但同时也增加了被恶意攻击的风险。

目前，边缘服务市场尚未形成统一的安全标准和管理机制，导致各厂商和服务提供者在安全配置和管理上存在差异。一些组织或企业可能过于关注边缘服务的业务功能和应用场景，而忽视了其潜在的安全风险。这导致在边缘服务的规划、设计和部署阶段缺乏足够的安全考虑。加上目前市场上缺乏针对边缘服务的安全人才和工具，使得边缘服务的安全防护变得更加困难。

同时，边缘服务通常要求实时响应和高性能，因此在设计和部署过程中，可能会牺牲部分安全性来换取性能。例如，为了减少延迟，可能会选择不加密数据或采用较弱的加密算法。另外，边缘服务通常涉及多个组件和依赖项，包括硬件、操作系统、中间件和应用软件等。这些组件之间的交互和依赖关系复杂，增加了安全管理的难度。这些都在无形之中增加了安全风险，使得攻击者可以利用这些差异进行攻击。

如今，边缘服务面临的安全威胁随着时间的变迁也在不断演变、升级。如果长此以往地忽视的边缘服务的安全性，那无疑是给自己埋下了一颗随时爆炸的“雷”。

解决第三方风险的SASE，会成为救命稻草吗？

事实上，要想解决边缘性服务的安全问题，也并非完全“无解”。随着技术的不断发展和市场需求的增长，安全访问服务边缘（SASE）的出现为企业提供了一种有效的解决方案，有望在未来成为边缘性服务安全领域的重要解决方案之一。

SASE，是由网络安全和网络连接服务相结合的一种新型解决方案。它基于云原生架构，通过云服务提供商将网络安全和网络连接服务进行集成。用户可以通过云平台管理和配置网络安全策略，从而实现对全球网络的统一管理和控制。

而在解决边缘性服务安全问题方面，SASE的确具有一定优势。

一方面，SASE可以集成和管理全球范围内的网络安全策略，确保所有用户和设备都能受到一致的安全保护。这消除了传统解决方案中不同地区和部门之间安全策略不一致的问题，提高了整体的安全性。

同时，SASE能够基于用户和设备的身份、位置、行为等因素进行访问控制，可以实现对用户和设备的精确控制。与传统解决方案相比，SASE能够更加灵活地应对不同的风险和威胁，提高了安全性和响应能力。

通过统一的安全策略、动态的访问控制和高效的网络连接，SASE能够提供全方位的安全保护和网络服务。作为一种新兴的解决方案，SASE确实能够帮助企业和组织解决第三方风险问题。

虽然SASE在技术上具有先进性，但能否成功实施还需要企业具备相应的技术能力和管理水平。此外，SASE的部署和运维也需要一定的投入和成本。因此，企业在选择SASE时需要根据自身实际情况进行综合考虑。

随着技术的不断发展和市场需求的增长，SASE确实有望在未来成为边缘性服务安全领域的重要解决方案之一。但至于SASE是否能成为彻底解决边缘性服务的“救命稻草”，我们在这里先打上一个问号，SASE技术的未来发展趋势和市场变化仍需持续观望。

参考资料：

https://labs.withsecure.com/publications/mass-exploitation-the-vulnerable-edge-of-enterprise-security

https://www.infosecurity-magazine.com/news/withsecure-exploitation-edge/

https://blog.csdn.net/seaarea_818/article/details/134920981