VPNs desatualizadas em alto risco de invasão, diz pesquisador

Paulo Brito
08/01/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um total de 3.825 servidores da Pulse Secure VPN continua sem a correção de segurança publicada em abril passado, que impede invasões como a ocorrida na Travelex

Usuários da VPN Pulse, aplicação comercializada pela empresa norte-americana Pulse Secure, estão em risco se não tiverem aplicado os últimos patches de segurança – os servidores sem patch estão vulneráveis a invasores que usam malware. Como foi provavelmente o caso da invasão da rede global da Travelex, contaminada com o ransomware Sodinokibi – também conhecido como REvil – como alertou o pesquisador de segurança britânico Kevin Beaumont (@gossithedog). Embora as correções para as falhas estejam disponíveis há muito tempo, milhares de servidores conectados à Internet permanecem sem correção, diz ele.

Troy Mursch, da empresa de inteligência em ameaças Bad Packets, com sede em Chicago, informou que suas varreduras na Internet identificaram 3.825 servidores Pulse Secure VPN que permanecem em risco porque não foram atualizados com um patch para corrigir uma vulnerabilidade crítica, designada CVE-2019- 1150. Desses todos 16 estão no Brasil. O país com mais servidores vulneráveis é os EUA, com 1316.

“Eu acompanho ransomware de ‘big game’ e ataques cibernéticos em geral, já que trabalho em segurança cibernética corporativa, então quero sempre saber o que os invasores estão fazendo”, disse Beaumont em relatório que publicou no último sábado. Segundo ele, alguns invasores têm como alvo as credenciais do Active Directory como parte de seus esforços de infecção por ransomware, além de usarem Virtual Network Computing para controlar remotamente PCs e a ferramenta de linha de comando gratuita PsExec para executar remotamente processos em sistemas locais.

“No início da semana passada, vi dois incidentes notáveis nos quais se acreditava que o Pulse Secure era a causa de uma violação e com o uso do Sodinokibi”, escreveu ele. “Nos dois casos, as organizações tinham sistemas Pulse Secure sem patches, e o caminho foi o mesmo – acesso à rede, acesso ao administrador de domínio, uso de VNC para se movimentar pela rede (eles realmente instalaram o VNC via PsExec, como java .exe). Depois as ferramentas de segurança dos endpoints foram desabilitadas e o Sodinokibi foi enviado a todos os sistemas via PsExec.”

“A Pulse Secure publicou uma correção em 24 de abril de 2019, que deve ser aplicada imediatamente à Pulse Connect Secure (VPN)”, afirmou Scott Gordon, diretor de marketing da Pulse Secure, em comunicado. “A vulnerabilidade CVE-2019-1150 é altamente crítica. Os clientes que já aplicaram esse patch não estariam vulneráveis a essa exploração de malware. Como já comunicamos anteriormente, pedimos a todos os clientes que apliquem a correção.” A declaração da Pulse Secure foi emitida em resposta às pesquisas e relatórios de Beaumont sobre suas descobertas.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest