[ 165.502 page views, 72,147 usuários - últimos 30 dias ] - [ 5.818 assinantes na newsletter, taxa de abertura 27% ]

Ataques a VPN Pulse agora feitos com credenciais roubadas

Agência de cibersegurança americana CISA avisa que as VPNs Pulse Secure continuam em risco: estão sendo invadidas com credenciais roubadas, que permitem movimento lateral

Os problemas com a Pulse Secure VPN, que culminaram com a invasão da rede da Travelex em 31 de Dezembro de 2019, ainda não terminaram e podem se repetir. O alerta foi publicado ontem pela CISA (Cybersecurity and Infrastructure Security Agency), braço do Department of Homeland Security americano. O alerta explica que as credenciais roubadas pelos hackers que exploraram a vulnerabilidade CVE-2019-11510 de uma organização continuam válidas e permitem a eles acesso à rede e movimento lateral – caso a organização não tenha alterado essas credenciais.

A CISA explicou que acompanhou várias atividades de resposta a incidentes em instituições do governo dos EUA e empresas, nas quais houve exploraçao do CVE-2019-11510: “Embora a Pulse Secure tenha lançado patches para o CVE-2019-11510 em abril de 2019, a CISA observou incidentes em que credenciais do Active Directory comprometidas foram usadas meses após a organização da vítima ter corrigido seu dispositivo VPN”. 

O aviso do órgão é para que organizações e usuários continuam em risco caso estejam reutilizando senhas e não atualizando suas credenciais. A equipe de resposta a emergências de computadores do Japão (JCERT) também observou que os hackers estão obtendo acesso aos servidores não atualizados da Pulse Secure VPN para exfiltrar credenciais do Active Directory em texto sem formatação.

Veja isso
Demanda de VPN na pandemia não surpreende a Unisys
VPNs desatualizadas em alto risco de invasão, diz pesquisador

Apesar de os hackers usarem a rede Tor e servidores virtuais privados para reduzir a possibilidade de detecção, a CISA tem acompanhado sua ação e registrando ações como a criação de tarefas agendadas e a implantação de RATs (remote access trojans) para estabelecer persistência, acumulando arquivos para exfiltração e executando ransomware no ambiente de rede da vítima. A ameaça foi observada na rede de hospitais.

Para ajudar os administradores de sistemas, a CISA publicou uma ferramenta de detecção de indicadores de comprometimento (IOC) que os logs de autenticação, além de procurar automaticamente por outros IOCs associados à vulnerabilidade. Por último, a CISA recomenda que as organizações atualizem suas VPNs e alterem as senhas de todas as contas do Active Directory, incluindo administradores e contas de serviço. “Os administradores também devem procurar aplicativos não autorizados e tarefas agendadas em seu ambiente e remover todos os programas de acesso remoto não aprovados pela empresa”.