Os hackers estão tentando roubar senhas de duas VPNs amplamente usadas

49

Os hackers estão ativamente desencadeando ataques que tentam roubar chaves de criptografia, senhas e outros dados confidenciais de servidores que não conseguiram aplicar correções críticas para dois produtos VPN (rede privada virtual) amplamente utilizados, disseram os pesquisadores.

As vulnerabilidades podem ser exploradas enviando solicitações da Web para servidores não corrigidos que contenham uma sequência especial de caracteres, pesquisadores da conferência de segurança da Black Hat em Las Vegas. disse no início deste mês. As vulnerabilidades de leitura de arquivos de pré-autorização residiam na Fortigate SSL VPN, instalada em cerca de 480.000 servidores, e na concorrente Pulse Secure SSL VPN, instalada em cerca de 50.000 máquinas, relataram pesquisadores da Devcore Security Consulting.

Os pesquisadores da Devcore descobriram outras vulnerabilidades críticas em ambos os produtos. Isso possibilita que invasores, entre outras coisas, executem remotamente códigos maliciosos e alterem senhas. Patches para o Fortigate VPN tornou-se disponível em maio e em abril para Pulse Secure. Mas a instalação dos patches geralmente pode causar interrupções no serviço que impedem as empresas de realizar tarefas essenciais.

Pulverizando a Internet

Nas últimas 36 horas, hackers começaram a pulverizar a Internet com códigos que tentam explorá-la oportunamente, disse o pesquisador independente Kevin Beaumont. Ele disse que encontrou ataques contra servidores Fortigate vindo de 91.121.209.213, um endereço IP que tem um história de má conduta anterior. Uma varredura na sexta-feira usando o Mecanismo de pesquisa BinaryEdge mostrou um novo endereço IP, 52.56.148.178, também começou a pulverizar explorações para a mesma vulnerabilidade.

No início deste mês, duas amostras de código de exploração do CVE-2018-13379, conforme a vulnerabilidade é rastreada, tornaram-se publicamente disponíveis Aqui e Aqui. O primeiro realmente obtém dados armazenados em máquinas vulneráveis, enquanto o último apenas verifica se uma máquina está vulnerável.

Enquanto isso, Beaumont disse, os ataques que tentam explorar servidores Pulse Secure sem patches vêm de 2.137.127.2. O código de exploração se tornou disponível publicamente no início desta semana. O pesquisador independente Troy Mursch disse que também encontrou ataques vindos de 81.40.150.167 que também tentam explorar ou testar a vulnerabilidade, que é indexada como CVE-2019-11510. No caso de uma das varreduras em massa identificar um servidor vulnerável, ele poderá explorar uma falha de execução de código que os pesquisadores da Devcore também descobriram.

"Essas varreduras estão direcionando os endpoints que são vulneráveis ​​à leitura arbitrária de arquivos, levando à divulgação de informações confidenciais de chaves privadas e senhas de usuários", disse Mursch ao Ars. “Eles estão explorando esta vulnerabilidade para ler o conteúdo do arquivo` etc / passwd para roubar credenciais. Essas credenciais podem então ser usadas para conduzir mais ataques de injeção de comando (CVE-2019-11539) e obter acesso à rede privada, permitindo novas atividades maliciosas. ”

Mursch disse que o servidor honeypot que ele usou para detectar os ataques também foi capaz de identificar que o endereço IP 2.137.127.2 também estava visando a vulnerabilidade do Pulse Secure. Ele disse que não acreditava que nenhum dos IPs fosse operado por um pesquisador que estava apenas procurando servidores não corrigidos. Seu honeypot foi incapaz de detectar código atacando a vulnerabilidade do Fortigate. Beaumont estava usando um honeypot fornecido pela BinaryEdge.

As vulnerabilidades são sérias porque afetam um software que precisa ser acessível à Internet e que atua como um gateway para partes altamente confidenciais da rede de uma organização. A obtenção de senhas em hash e, em alguns casos, em texto simples, chaves de criptografia e outros dados confidenciais, pode permitir que as pessoas penetrem nessas redes. Com mais trabalho, os invasores que identificam servidores não corrigidos também podem explorar as outras vulnerabilidades encontradas pelos pesquisadores da Devcore. Uma falha Fortigate, que eles apelidado de "The Magic Backdoor" permite que atacantes remotos que conhecem uma chave codificada alterem as senhas.

Representantes da Fortinet e da Pulse Secure disseram que as empresas vêm pedindo aos clientes por meses para consertar seus sistemas o mais rápido possível. Nenhuma das empresas pôde confirmar ou expandir os relatórios de digitalização provenientes de Beaumont e Mursch. As organizações que usam essas VPNs devem levar algum tempo para garantir que elas não sejam vulneráveis.

Fonte: Ars Technica