美国国家安全局（NSA）警告说，民族国家威胁者正在积极利用Pulse Secure、Palo Alto Networks和Fortinet产品中的多个VPN漏洞。

美国国家安全局周一发布了网络安全公告，敦促用户修复并缓解3个先前披露的VPN漏洞，“多个民族国家高级持续威胁（APT）行为者已经将这些漏洞武器化”。在该公告中，美国国家安全局没有具体说明哪个国家或APT团体正在利用该漏洞或出于何种目的。

而英国国家网络安全中心（NCSC）在上周发布的另一份报告称，“攻击活动正在进行中，主要针对英国和国际组织”，涉及政府、军事、学术、商业和医疗保健等各个领域。 NCSC还表示，英国数百台VPN主机可能容易遭受这些攻击。

正在被利用的VPN漏洞包括两个远程执行代码漏洞- CVE-2019-11539，位于Pulse Secure的Pulse Connect Secure和Pulse Policy Secure产品中，以及CVE-2019-1579，影响Palo Alto GlobalProtect VPN，这两个问题可能允许恶意下载。

此外，CVE-2019-11510允许在相同Pulse Secure产品中进行远程任意文件下载，而CVE-2018-13379允许未经身份验证的用户在Fortinet的FortiGate VPN中通过特制HTTP资源请求下载系统文件。

美国国家安全局（NSA）在其公告中指出，恶意攻击者正在利用针对Pulse Secure漏洞的漏洞利用代码，这些漏洞“可通过Metasploit框架以及在GitHub免费在线获得”。

除这些漏洞外，英国国家网络安全中心还重点介绍了Fortigate中另外两个漏洞：CVE-2018-13382和CVE-2018-13383，CVE-2018-13382允许未经身份验证的用户更改VPN Web门户用户的密码，而CVE-2018-13383则是堆缓冲区溢出漏洞，可能允许远程执行代码。英国国家网络安全中心没有明确说明这些漏洞是否正在被用于攻击。

这两个公告中的所有VPN漏洞此前都是由其各自的供应商披露和修复。美国国家安全局（NSA）警告说，如果攻击者利用这些漏洞来收集用户凭证或创建新凭证，则即使在修复和更新VPN后，这些凭据仍将有效。

NSA建议更新所有用户、管理员和服务帐户登录凭证；吊销旧的VPN服务器密钥和证书并生成新的密钥和证书；并检查所有帐户，以确保没有创建新的欺诈帐户。

NSA公告还建议部署几种强化技术，包括对VPN帐户使用多因素身份验证，对VPN用户活动进行日志记录以及要求面向公众的VPN使用强大的TLS进行网络流量加密和基于证书的身份验证。