虛擬私人網路(VPN)是企業或組織對外連線的主要入口,目的在加密資料傳輸,員工即使身處外部環境,也能安全連回公司系統。然而,原本肩負守護資安的重要設備,如今卻成為駭客攻擊熱點,VPN正面臨10年來嚴峻的結構性挑戰。
自Covid-19 疫情後,混合辦公模式普及,企業外部暴露面快速擴張,使透過 VPN 設備遭到駭客入侵的威脅大幅增加。加上一些主流產品接連爆出高風險漏洞,等於讓駭客手上多了現成武器,掃描與攻擊行動因此更加頻繁。多國資安機構已陸續提高警戒,並一致呼籲企業必須正視 VPN 設備的安全風險。
非隨機攻擊 大規模掃描成新常態
今(2025)年11月中旬,Palo Alto Networks GlobalProtect 登入端點/global-protect/login.esp在24小時內,遭受約40倍增幅的掃描,短短5天內累積超過 230 萬筆探測紀錄。
根據 GreyNoise 分析,攻擊來源具一致性與持續性,顯示並非隨機掃描,而是「具有明確目的的系統性探索」。雖然大規模掃描不代表弱點已被立即利用,但可能和新漏洞曝光、攻擊者為未公開的行動做準備以及漏洞武器化前的盤點與偵查高度相關。
重大風險漏洞 普存於整體生態系
過去三個月內,多家廠牌、不同架構的設備都爆出重大風險漏洞,顯示問題並非出在個別產品,而是普遍存在整體生態系。主要例子包括:Cisco ASA / FTD WebVPN(CVE-2025-20333、20362),官方與政府機構的警示已遭實際利用; WatchGuard Firebox / Fireware OS(CVE-2025-9242),影響 IKEv2 VPN,具未認證 RCE 能力。
Fortinet FortiGate / SSL-VPN持續被揭露與利用漏洞,含早前的大規模後門事件;SonicWall SonicOS SSL-VPN(CVE-2025-40601),未授權的記憶體操作可導致設備崩潰以及TP-Link Omada Gateways(CVE-2025-6541 等),允許未授權遠端執行指令等。
威脅情資顯示 VPN成主攻擊入口
今年有多份威脅情資報告顯示:在經分析的勒索案件中,逾5成初始入侵與VPN憑證或VPN入口相關;多起入侵源來自已知但未修補的VPN gateway漏洞; VPN portal 只要位於公網且可被掃描,將被持續列入攻擊者掃瞄清單。
從這些最新的資料可以確認,攻擊已從「技術性弱點利用」轉變為「持續性偵查」,VPN gateway 正被或已經被視為是駭客長期、穩定、成功率高的入侵點。
傳統僵固設計 遭系統性風險挑戰
從架構角度看,傳統VPN通常具備單一、一致且公開的入口點(VPN Gateway);仰賴帳密、憑證或 session 驗證;Portal 通常位於公網可見位置以及成功登入後可通往更高權限網段等特性。
這些特性在20年前屬合理設計,但在現今攻擊環境下,將成為被掃瞄的固定攻擊面,且一旦被入侵將被直搗內網核心;由於大多數的企業部署設計高度相似,這也讓有心人士更能掌握弱點。
混合工作變革加快 VPN壓力大增
從2020–2025 年,5年間的變化讓企業網路呈現使用者與裝置地理位置分散;SaaS、IaaS、PaaS 成為主要使用入口;應用邏輯不再集中於內網;存取需求呈現跨網域、跨雲、多端點等特性。在此背景下,傳統VPN以「網段為中心」的模型與現今以「應用為中心」的工作方式,兩者間顯然產生明顯落差,混合工作變革加快,VPN壓力大增。
近期在採購案、RFP、資安架構討論中,企業普遍提出的疑問包括:我們的公開 VPN portal 如何避免成為下個攻擊點? 一旦成功登入後,橫向移動風險是否可接受?VPN是否仍適合混合雲與多分點架構?以及是否需要採用更細密的驗證與權限控管?這些問題並不意味著VPN即將消失,但很明顯的指出企業已開始意識到傳統VPN架構與現代威脅模式間的差距,正在快速擴大中。
升級傳統架構 構築堅實資安防線
VPN的風險輪廓顯已大幅改變,須被視為「高風險邊界設備」之一,不再是企業資訊安全的第一道防線。企業若仍依賴單一、固定入口的傳統VPN模式,將持續暴險於有組織、持續性且具高資源攻擊者面前;因此,未來的資訊安全架構,勢朝更細緻的身分與存取控管、去集中化與可分散部署的網路架構、減少固定入口的 Zero Trust(零信任)存取模式發展。
調整架構、降低暴露面、減少單點依賴,將成為企業未來一年無法忽視的核心議題;當非隨機攻擊、大規模掃描已成為網路攻擊新常態,企業需重新檢視並升級網路架構以應對;也唯有盡早重新檢視並升級網路架構,才能在攻擊進入新常態的時代,築起更堅實的資安防線。
