2019年8月，一伙来自中东的黑客悄无声息的遛进了美国阅批的网站，黑客们带走了什么没有人清楚，不过后知后觉的美国阅批在几个月之后才发出了相关漏洞的预警，这个漏洞存在于美国阅批的VPN提供商Pluse VPN的产品上，漏洞编号为CVE-2019-11510，据美国FBI的预警，黑客可以利用这个漏洞获取登录用户的名单，读取服务器的配置，读取登录验证缓存并且拿到高级权限。漏洞一经披露，整个网络风声鹤唳，各种受影响的消息铺天盖地而来，攻击者渗透进了数个美国阅批的网络，尝试获取了邮件信息，据悉漏洞发生的时候，美国宇航局（NASA），有超过十个带了这个Bug的服务器暴露在外网。蓝星最强的美帝尚且如此狼狈，可见VPN漏洞之普遍。

       自新冠疫情发生以来，越来越多的机构或者企业选择在家远程办公，为了满足足不出户就能上课和学习，为了对企业人员进行远程授权管理，VPN又被推到了时代的聚光灯下。VPN，全称为虚拟专用网络，其主要作用是连接处于互联网上的各个终端，使其能够像在局域网一样访问彼此的资源，并且提供统一的数据加密，授权管理服务，因此在阅批、学校、商业机构中被广泛应用。VPN在疫情期间变得越来越火，企业级用户激增，其带来丰厚效益提升的同时也带来层出不穷的问题。

       为什么VPN是众多黑客喜闻乐攻的香饽饽

       VPN是从外网进入内网的核心节点，类似的节点还有IPS、IDS等，这些节点是内网和外网边界的核心节点，如果被攻克的话，黑客就能事半功倍的进入内网，如入无人之境，带来的收益是及其诱人的，同时VPN这个品类本身的产品渗透率就比IPS、IDS等这些产品高，因此更容易成为黑客最常攻击的目标。

       以国外的VPN为例，除了上述美国阅批面临的VPN问题之外，在过去一年中海外的其他VPN服务提供商例如：Palo Alto Networks、Fortinet、Cisco等都被披露有严重安全漏洞。从身份验证失效，到远程代码执行问题，从登录信息泄漏，到权限管理失效。以Cisco为例子，最近就出现了远程代码执行的漏洞，例如CVE-2020-3323和CVE-2020-3331黑客能够利用该漏洞控制Cisco用户的服务器。国内的VPN也一样，目前国内市场占有率靠前的深信服，其VPN也面临同样的情况，也在今年被爆出了漏洞。

       安全厂商需要提升产品安全性并保持透明，用户也要逐步增强安全意识

       从厂商的角度，VPN厂商应该在加大安全投入的同时还需要确保和客户保持漏洞信息透明。

       一方面，安全厂商应该建立软件安全研发流程，积极应用落实SDL或DevSecOps等。在需求、设计、发布、运营的软件开发全生命周期中落地安全动作，通过安全培训、威胁建模、安全测试等手段尽可能的前移发现安全漏洞；并通过建立质量门限把关产品安全交付质量，从而提升产品整体安全质量；实时关注安全情报，通过有效及时的应急响应机制，保障安全事件的有效止损和处置，最大化降低安全问题与事件对产品和用户的影响。