quarta-feira, 5 de agosto de 2020

Hacker vaza senhas para mais de 900 servidores VPN corporativos

EXCLUSIVO: A lista foi compartilhada em um fórum de hackers de língua russa, frequentado por várias gangues de ransomware.


Link de compartilhamento de postagem do fórum para a lista de nomes de usuário e senhas do servidor Pulse Secure VPN

Crédito da Imagem: Bank Security

Um hacker publicou hoje uma lista de nomes de usuário e senhas em texto sem formatação, além de endereços IP para mais de 900 servidores corporativos VPN Pulse Secure.

O ZDNet, que obteve uma cópia desta lista com a ajuda da empresa de inteligência contra ameaças KELA, verificou sua autenticidade com várias fontes na comunidade de cibersegurança.

De acordo com uma revisão, a lista inclui:

Endereços IP dos servidores Pulse Secure VPN
Versão de firmware do servidor Pulse Secure VPN
Chaves SSH para cada servidor
Uma lista de todos os usuários locais e seus hashes de senha
Detalhes da conta de administrador
Últimos logins da VPN (incluindo nomes de usuário e senhas de texto não criptografado)
Cookies de sessão VPN

Crédito da imagem: ZDNet

O Bank Security, um analista de inteligência de ameaças especializado em crimes financeiros e que descobriu a lista hoje mais cedo e a compartilhou com o ZDNet, fez uma observação interessante sobre a lista e seu conteúdo.

O pesquisador de segurança observou que todos os servidores Pulse Secure VPN incluídos na lista estavam executando uma versão de firmware vulnerável à vulnerabilidade CVE-2019-11510.

O Bank Security acredita que o hacker que compilou esta lista examinou todo o espaço de endereço IPv4 da Internet em busca de servidores Pulse Secure VPN, usou uma exploração da vulnerabilidade CVE-2019-11510 para obter acesso aos sistemas, despejar detalhes do servidor (incluindo nomes de usuário e senhas), e depois coletou todas as informações em um repositório central.

Com base nos carimbos de data e hora na lista (uma coleção de pastas), as datas das verificações ou a data em que a lista foi compilada aparecem entre 24 de junho e 8 de julho de 2020.

Imagem: ZDNet

ZDNet também entrou em contato com a Bad Packets, uma empresa de inteligência de ameaças sediada nos EUA que analisa servidores vulneráveis ​​da Pulse Secure VPN na Internet desde agosto de 2019, quando a vulnerabilidade CVE-2019-11510 foi tornada pública.

"Dos 913 endereços IP únicos encontrados nesse dump, 677 foram detectados pelas varreduras CTI da Bad Packets como vulneráveis ​​ao CVE-2019-11510 quando a exploração foi tornada pública no ano passado", disse o co-fundador e diretor de pesquisa da Bad Packets. ZDNet hoje.

Da lista, parece que as 677 empresas não foram corrigidas desde a primeira varredura da Bad Packets no ano passado e as varreduras de junho de 2020 realizadas pelo hacker.

Mesmo que essas empresas consertem seus servidores Pulse Secure, elas também precisam alterar as senhas para evitar que hackers abusem das credenciais vazadas para assumir o controle de dispositivos e depois se espalhar para suas redes internas.

Isso é muito importante, pois os servidores Pulse Secure VPN geralmente são empregados como gateways de acesso às redes corporativas, para que a equipe possa se conectar remotamente a aplicativos internos de toda a Internet. Esses tipos de dispositivos, se comprometidos, podem permitir que os hackers acessem facilmente toda a rede interna de uma empresa - daí a razão pela qual as APTs e as gangues de ransomware já tinham usado esses sistemas no passado.

LISTA COMPARTILHADA EM FÓRUM FREQUENTADO POR GANGUES DE RANSOMWARE

Para piorar a situação, a lista foi compartilhada em um fórum de hackers que é frequentado por várias gangues de ransomware. Por exemplo, as gangues de ransomware REvil (Sodinokibi), NetWalker, Lockbit, Avaddon, Makop e Exorcist têm tópicos no mesmo fórum e o usam para recrutar membros (desenvolvedores) e afiliados (clientes).

Muitas dessas gangues realizam invasões nas redes corporativas, alavancando dispositivos de borda de rede, como os servidores Pulse Secure VPN, e depois implantam sua carga útil de ransomware e exigem enormes demandas de resgate.

A publicação desta lista como um download gratuito é um nível literal de perigo do DEFCON 1 para qualquer empresa que não conseguiu consertar sua Pulse Secure VPN no ano passado, pois é provável que algumas das gangues de ransomware ativas neste fórum usem a lista para ataques futuros.

Como o Bank Security disse ao ZDNet, as empresas precisam corrigir suas VPNs Pulse Secure e alterar senhas com a máxima urgência.

*** O dump do Pulse Secure VPN foi anunciado como uma lista de 1.800 servidores vulneráveis, mas nossas verificações encontraram apenas 900, por isso, usamos um título de artigo apropriado, apesar da primeira imagem deste artigo.

Post:Traduzido
Créditos: Por Catalin Cimpanu para Zero Day | 4 de agosto de 2020 - 22:44 GMT (15:44 PDT) | Tópico: Security

FONTE:ZEDNet

Nenhum comentário:

Ads Inside PostM

Teste