Posté le août 5, 2020 à 18:02
UN HACKER EXPOSE PLUS DE 900 SERVEURS VPN D’ENTREPRISE
Aujourd’hui, un hacker a divulgué les noms d’utilisateur, mots de passe et adresses IP en texte clair de plus de 900 serveurs d’entreprise VPN Pulse Secure sur un forum darknet. La société de renseignements sur les menaces, KELA, a vérifié l’originalité de la liste en utilisant différentes sources dans la communauté de la cybersécurité.
Sur la base de la liste collectée par KELA, le contenu comprend les détails du compte d’administrateur, une liste de tous les utilisateurs locaux et leurs hachages de mots de passe, et la version du micrologiciel du serveur VPN Pulse Secure. La liste comprend également les cookies de session VPN, les dernières connexions VPN (y compris les mots de passe et noms d’utilisateur en clair), ainsi que les adresses IP des serveurs VPN Pulse Secure.
Bank Security, un analyste du renseignement sur les menaces spécialisé dans la criminalité en ligne, a repéré la liste aujourd’hui et a observé quelque chose d’intéressant dans son contenu. Le chercheur en sécurité a déclaré que tous les serveurs VPN Pulse Security de la liste utilisent une version de firmware susceptible de présenter la vulnérabilité CVE-2019-11510.
La vulnérabilité CVE-2019-11510 exploitée
Selon Bank Security, le hacker qui a documenté la liste et l’a mise en ligne a scanné tout l’espace d’adresses IPv4 pour les serveurs VPN Pulse Secure. Le hacker a ensuite utilisé la vulnérabilité CVE-2019-11510 pour infiltrer les serveurs et décharger les détails des serveurs dans le système. Ces détails comprennent les noms d’utilisateur et les mots de passe. Après avoir déchargé les détails des serveurs, les hackers ont récupéré toutes les informations en utilisant un seul et unique dépôt.
D’après les horodatages disponibles sur la liste, les dates auxquelles le hacker a compilé la liste semblent être du 24 juin et du 8 juillet 2020.
Une autre société de renseignement sur les menaces basée aux États-Unis, connue sous le nom de Bad Packets, surveille également Internet pour trouver les serveurs VPN Pulse Secure vulnérables depuis le mois d’août de l’année dernière. Cela a coïncidé avec le moment où la vulnérabilité CVE-2019-11510 a été révélée au public.
677 entreprises n’ont pas mis à jour leur système de l’année dernière
Le directeur de recherche et co-fondateur de Bad Packets a déclaré que les scans CTI de Bad Packets ont détecté environ 677 des 913 adresses IP uniques.
« Sur les 913 adresses IP uniques trouvées dans ce dépôt de données, 677 ont été détectées par les scanners CTI Bad Packets comme étant vulnérables au CVE-2019-11510 », a-t-il déclaré.
La liste montre qu’environ 677 entreprises n’ont pas réparé leurs serveurs depuis que Bad Packet a effectué son premier scan l’année dernière, ainsi que le scan que l’entreprise a effectué en juin de cette année.
Même lorsque les entreprises mettent à jour leurs serveurs Pulse Secure, elles devront changer leurs mots de passe pour empêcher les hackers de tirer profit des fuites d’informations. Ils pourraient s’emparer de dispositifs et s’infiltrer dans leurs réseaux Internet.
Les mises à jour et le changement des mots de passe sont très importants. Les serveurs VPN Pulse sont utilisés comme des passerelles d’accès aux réseaux d’entreprise pour permettre au personnel de se connecter facilement à distance à des applications internes via l’internet.
Si les types de dispositifs sont compromis, cela peut permettre aux hackers d’accéder facilement à l’ensemble du réseau interne de l’entreprise. C’est pourquoi les groupes de hackers qui utilisent des logiciels de rançon et des APT ont ciblé ces systèmes par le passé.
Les groupes qui utilisent des logiciels de rançon partagent publiquement la liste sur les forums
Les hackers ont décidé de télécharger la liste des serveurs VPN Pulse volés sur le forum du darknet, qui est fréquemment visité par des groupes qui utilisent des ransomware. Par exemple, les groupes Exorcist, Makeup, Avaddon, Lockbit, NetWalker et REvil ont des fils de discussion différents sur le même forum darknet. Ils utilisent également la même plateforme pour recruter des affiliés (clients) et des membres (développeurs).
Les entreprises doivent patcher leurs serveurs
Plusieurs de ces groupes effectuent des intrusions et s’infiltrent dans les réseaux d’entreprise en tirant parti des vulnérabilités du réseau et des dispositifs en périphérie du réseau tels que les serveurs VPN Pulse Secure. Après avoir obtenu l’accès aux serveurs, ils déploient leur charge utile de logiciels de rançon et procèdent à des demandes de rançon.
La plupart de ces groupes ont été impliqués dans plusieurs demandes de rançon après avoir volé des informations sensibles à des entreprises. Leurs activités ont même augmenté pendant cette période COVID-19 où la plupart des travailleurs n’avaient pas d’autre choix que de travailler à domicile.
Cependant, les hackers responsables de cette liste l’ont publiée en téléchargement gratuit sur le forum. La plupart des sociétés de renseignements sur les menaces considèrent qu’il s’agit d’un niveau de danger DEFCON 1 pour toute entreprise qui n’a pas pu mettre à jour ses serveurs VPN Pulse Secure au cours de l’année précédente. En effet, la plupart des groupes actifs en matière de logiciel de rançon peuvent décider d’utiliser cette liste pour lancer de nouvelles attaques.
Selon Bank Security, les entreprises devraient mettre à jour et patcher leurs serveurs dès que possible pour éviter d’être victimes de futures attaques par d’autres groupes qui utilisent des logiciels de rançon.