O Centro Nacional de Ciber Segurança do Reino Unido (NCSC) publicou na última quarta-feira um alerta para os usuários das VPNs de três fornecedores: Pulse Connect Secure, Palo Alto e Fortinet. Informações obtidas pelo órgão, que pertence ao GCHQ (a agência central de inteligência britânica), indicam que há gente explorando vulnerabilidades conhecidas dessas três VPNs, aproveitando usuários que não fizeram atualizações (patches). Num documento de cinco páginas, o órgão afirma que essa atividade está em andamento contra organizações não só do Reino Unido como de países não-identificados. Os setores visados são governo, militar, acadêmico, comercial e de saúde.
As vulnerabilidades permitem que alguém obtenha arquivos dessas VPNs, incluindo aqueles que contêm credenciais de autenticação. Desse modo, afirma o documento, o invasor pode usar essas credenciais para se conectar à VPN e alterar definições de configuração ou conectar-se à infraestrutura interna. A conexão pode também fornecer ao invasor os privilégios necessários para executar explorações secundárias, necessárias a alcançar um privilégio de root na rede.
O NCSC listou apenas cinco vulnerabilidades críticas para as VPNs: duas da Pulse Connect Secure, três da Fortinet e uma da Palo Alto Networks. Mas assinalou que essa não é a lista completa de vulnerabilidades desses produtos.
O órgão avisa ainda que “os usuários desses produtos devem investigar seus logs em busca de evidências de comprometimento, especialmente caso os patches não tenham sido aplicados imediatamente após sua publicação (…) Os administradores também devem procurar evidências de contas comprometidas em uso, como locais ou horários de IP estranhos”.
Com agências internacionais
