cyber-security-4072712_640-e1571687102874.jpg

Pulse VPN vulnerável em 911 servidores, incluindo três do Brasil

Material estava em banco de dados de criminosos que vazou na dark web; lista foi organizada pela receita das empresas
Da Redação
06/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um ator de ameaças de língua russa e bastante conhecido na dark web compartilhou ontem os detalhes de mais de 911 IPs vulneráveis aos mais recentes CVEs da Pulse VPN. A lista contém grandes bancos e organizações notáveis segundo o perfil Bank Security do Twitter. O CISO Advisor localizou no Twitter a lista revertida para domínios, que contém três do Brasil. Esse material faz parte de um banco de dados, com informações que os cibercriminosos vendem no varejo, dando acesso a várias empresas por meio das vulnerabilidades da Pulse VPN. A lista original foi organizada em categorias, conforme a receita de cada empresa e sua suposta capacidade de pagar o resgate.

Poucas horas depois desse primeiro vazamento, um outro ‘ator de ameaças’ publicou a lista de domínios relacionados aos IPs, confirmando a existência de muitos .gov, bancos e grandes empresas. A lista contém apenas servidores Pulse Secure VPN vulneráveis ao CVE-2019-11510.

Veja isso
Ataques a VPN Pulse agora feitos com credenciais roubadas
Travelex pagou US$ 2,3 milhões em resgate de ransomware

Os detalhes publicados contêm:

  • endereços IP
  • versão do firmware VPN
  • chaves SSH
  • todos os usuários locais e seus hashes de senha
  • detalhes da conta de administrador
  • nomes de usuário e senhas em texto não criptografado
  • cookies de sessão VPN

Problemas de segurança nessa VPN vêm sendo anunciados há mais de um ano, e eles vêm sendo explorados por cibercriminosos durante esse tempo. Embora a empresa tenha publicado correções em abril do ano passado para o CVE-2019-11510, muitos clientes não as aplicam e assim continuam vulneráveis. Foi esse o caso da Travelex, cuja rede foi invadida em 31 de dezembro de 2019 e criptografada com o ransomware Sodinokibi. A empresa gastou US 2,3 milhões para obter a ferramenta de decodificação para salvar sua rede e seus dados.

A empresa de segurança BadPackets informou que 74% dos IPs da lista já haviam sido detectados por ela em junho deste ano. A lista atual foi fornecida inicialmente ao portal ZDNetpela empresa de segurança KELA.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório