那些还没有安装最新版本的Pulse安全VPN的企业有充分的理由停止犹豫——一个代码执行漏洞，允许攻击者控制使用该产品的网络。

跟踪为CVE-2020-8218，该漏洞要求攻击者对运行VPN的机器拥有管理权限。发现该漏洞的GoSecure公司的研究人员发现了一种清除这一障碍的简单方法:诱骗管理员点击嵌入在电子邮件或其他类型信息中的恶意链接。

钓鱼季节已经正式开始

“虽然需要验证，”GoSecure的研究员Jean-Frederic Gauron在一篇文章中提到了这个漏洞，沐鸣开户测速“但它可以被一个针对正确受害者的简单网络钓鱼攻击触发，这一事实应该足以证明这个漏洞不容忽视。”

尽管钓鱼攻击由来已久，但它们是最有效的方法之一，不仅可以突破消费者的防御，还可以突破财富500强和政府机构的防御。考虑到COVID-19大流行造成的目前在家工作的生活方式，风险甚至更高。

上个月，攻击者控制了Twitter的内部系统，他们利用从社交媒体网站上获取的详细个人信息，骗过一名远程工作人员，让他在一个假页面上输入凭证。据KrebsOnSecurity称，美国联邦调查局(FBI)和网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)最近警告称，类似的攻击正在全国各地上演。

虚拟专用网的简称，沐鸣开户测速vpn允许公司对连接到网络的员工进行加密认证，并对所有通信进行加密。在过去的18个月里，vpn已经成为黑客攻破精心保护的网络边界的一个关键突破口。

最喜欢的目标

去年，发起REvil勒索软件的攻击者进入了货币兑换公司Travelex的网络，很可能是由于管理员遗留下来的一个或多个关键的Pulse安全漏洞。这次黑客攻击发生在补丁发布八个月之后，四个月前有警告称，该漏洞正在未打补丁的机器上被积极利用。对Travelex来说，这是一个代价高昂的疏忽。据BBC报道，黑客要求600万美元来恢复该公司的数据。

今年早些时候，一系列利用Citrix VPN零日漏洞发起的疯狂攻击，直到该公司设法修复了这些漏洞。

在周三发布的一篇文章中，高隆表示，CVE-2020-8218是Pulse安全VPN发现的四个漏洞之一。该公司在6月中旬报告了此事，Pulse Secure在4周前推出了一个补丁。

公司研究员Julien Pineault在一封电子邮件中说，GoSecure为一名客户发现了这个漏洞，沐鸣开户测速该客户想测试公司新部署的Pulse安全VPN是否容易受到任何现有攻击。在发现一个命令注入缺陷后，他们研究了研究员Orange Tsai的这篇文章，以寻找如何绕过安全措施Pulse安全开发人员设置的线索。

与客户的约定并不允许GoSecure真正侵入网络。然而，他们能够证实在实验室环境中可能发生这样的袭击。

派诺说，CVE-2020-8218是他的公司发现的四个漏洞中最严重的一个。他说，一旦Pulse Secure修复了其他漏洞，GoSecure计划提供有关这些漏洞的细节。

CVE-2020-8218固定在9.1R8版本的脉冲连接。由于该行业在修补方面的不良记录，以及可能导致的严重后果，值得检查一下这个问题。