As VPNs Pulse Secure se tornaram o alvo favorito dos hackers

Vulnerabilidades em VPNs do Pulse Secure têm sido amplamente abusadas por quase todos os grupos de hackers, desde atores de ameaças de estado-nação a gangues de ransomware.

Há muito tempo é um alvo fácil

Mais de 80% das empresas Fortune 500 e 23.000 empresas, incluindo 18 milhões de terminais, empregam o Pulse Secure VPN para se conectar com segurança às redes corporativas. No entanto, os servidores Pulse Secure VPN têm sido um alvo frequente para exploração e execução remota de código.

Em alguns casos, os cibercriminosos assumem o controle dos servidores Pulse Secure VPN e, em seguida, penetram na rede interna de uma empresa para implantar malware, instalar ransomware ou furtar propriedade intelectual, mesmo depois que as empresas corrigem seus servidores VPN.

Lacunas de segurança

  • Ao examinar a implantação do Pulse Secure VPN por um cliente, a GoSecure, uma empresa de segurança, descobriu uma vulnerabilidade de execução de código , rastreada como CVE-2020-8218, no sistema que executa a VPN. A falha pode ser usada por invasores para assumir o controle de toda a rede de uma organização se não for corrigida.
  • O varejista de roupas Monsoon Accessorize foi encontrado empregando servidores VPN Secure Connect do Pulse Connect sem patches , o que o colocava em risco de ataque. De acordo com os pesquisadores, os servidores continham vulnerabilidades críticas que podiam permitir que invasores vissem usuários ativos na VPN da empresa, bem como suas senhas em texto simples.

Para a dark web

  • Ativo desde 2017, Pioneer Kitten, um grupo de hackers iraniano , começou recentemente a vender acesso a redes corporativas e governamentais vulneráveis ​​que utilizam servidores VPN em fóruns clandestinos. Junto com algumas outras vulnerabilidades conhecidas em servidores VPN, os hackers estão vendendo acesso a uma vulnerabilidade de leitura de arquivo encontrada em servidores VPN corporativos Pulse Connect Secure sem correção em uma tentativa de gerar dinheiro.
  • Hackers que falam russo postaram mais de 900 nomes de usuário e senhas de servidores VPN Secure na dark web. A lista compreendia a versão do firmware do servidor Pulse Secure VPN, todos os usuários locais e hashes de senha, chaves do servidor SSH, logins VPN anteriores com credenciais de texto não criptografado, detalhes da conta do administrador e cookies de sessão.

Não apenas consertar

As organizações que não conseguirem aplicar os patches em tempo hábil continuarão a atrair a atenção de agentes mal-intencionados que pretendem explorar os servidores Pulse Secure VPN atualizados. No entanto, remendar nem sempre é a solução. Algumas empresas estão sendo hackeadas mesmo depois de corrigir seus VPNs Pulse Secure. Nesses casos, eles podem considerar a alteração das senhas de todas as contas do Active Directory, incluindo contas de serviços e administradores.

Fonte: https://cyware.com/news/pulse-secure-vpns-have-become-hackers-favorite-target-74f354a0