2024年11月20日,网络安全研究人员监测暗网发现,一名用户在暗网论坛上公开出售泰国银行的GlobalProtect VPN用户访问权限,这一行为可能对银行及其客户的网络安全构成重大威胁。
据披露,此次出售的访问权限除了GlobalProtect VPN用户访问权限外,包括Active Directory域用户的本地管理员登录权限,这可能使得攻击者能够轻易地通过令牌模仿攻击进入银行的域控制器(DA)。这种攻击方式因其简单性而成为网络犯罪分子的首选,一旦成功,攻击者将能够对整个网络造成严重破坏。
如下是黑客发布信息的截图。
![]()
![]()
此外,该银行的财务状况也引起了关注。尽管作为私人公司,其具体收入数据并不透明,但据估计,该银行年收入在7500万至1亿美元之间,2017年的报告显示其总资产超过20亿美元。此次权限泄露事件可能对银行的财务安全和声誉造成严重影响。
安全研究人员还提供了该银行网络的一些附加信息,包括使用ADFind工具发现的密码安全问题,以及主要使用的EDR(端点检测和响应)软件ESET的配置情况。研究人员指出,Veeam备份软件的服务器也可以被ping通,且端口445/3389已经开放,这进一步增加了网络遭受攻击的风险。
此次权限售卖的价格为1750美元,且价格不可商议。交易将通过BreachForums Escrow完成,这是一种在暗网中常用的第三方托管服务,旨在为非法交易提供一定程度的“安全”保障。
据观察,名为Conway的发帖者是新注册的论坛用户,这是其发布的第一个帖子。
注意到,出售的权限是GlobalProtect VPN用户权限,该VPN是Palo Alto Networks公司提供的一种安全远程访问解决方案。Palo Alto Networks 是一家知名的网络安全公司,提供包括防火墙、入侵防御系统、端点安全和云安全在内的多种网络安全产品和服务。GlobalProtect 是其产品线中用于保护远程用户和分支机构安全接入企业网络的技术之一。
不排除最近Palo Alto Networks公司防火墙设备漏洞被利用的可能。因此,提醒使用该品牌防火墙的用户高度警惕!
![]()
11月18日,Palo Alto公司更新了PAN-SA-2024-0015公告,指出这是一个网页管理界面的身份验证旁路漏洞,已登记的通用漏洞披露编号为CVE-2024-0012,并且已经出现了一定数量的漏洞利用情况。未经身份验证的攻击者访问网页管理界面,就有机会获取防火墙操作系统PAN-OS的管理员权限,并执行管理操作,例如篡改防火墙配置,或者利用其他漏洞(如同日公布的CVE-2024-9474)进行权限提升。网络安全专家警告,此类事件凸显了金融机构在网络安全防护方面的脆弱性,尤其是对于那些可能未充分投资于先进安全措施的中小型银行。银行和相关机构必须加强对内部网络的监控和保护,以防止类似事件的发生,确保客户数据和资产的安全。
目前,泰国银行方面尚未对此事件作出公开回应,但预计会采取紧急措施以评估和应对潜在的安全威胁。全球网络安全社区也在密切关注此事态的发展,以评估其对国际金融安全的影响。
参考资源
1、https://breachforums.st/Thread-VERIFIED-1750-GlobalProtect-User-for-a-Thai-Bank-75-100m-Annual-Revenue
2、https://www.ithome.com.tw/news/166075
