Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski
Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę):
A well-known Russian-speaking Threat Actor shared details of over 1800 IPs vulnerable to the latest Pulse CVEs.
For each IP the actor shared many details including user & administrator clear-text credentials.
Big Banks and notable organizations are on the list.
🔥PATCH NOW!🔥 pic.twitter.com/QqyPBG17Mq— Bank Security (@Bank_Security) August 4, 2020
O samej podatności (czy raczej podatnościach) pisaliśmy już jakiś czas temu. W skrócie – np. na przykładzie Twittera udało się:
a) dostać do sieci (wewnętrznej) b) ominąć 2FA c) wykonać kod na urządzeniu (RCE).
Napastnicy wykonali najpierw prosty rekonesans (z doniesień wynika, że po ~całym Internecie; kto wie czy nie użyli np. narzędzia typu Shodan czy Zoomeye), następnie sprawdzili, które urządzenia są podatne, w kolejnym kroku wyciągnęli trochę istotnych danych – m.in. ostatnie logowania do VPN (loginy, hasła), czy tzw. VPN session cookies. Te ostatnie są o tyle ciekawe, że czasem umożliwiają dostanie się na konto ofiary, nawet jeśli ma ona włączone 2FA. To ostatnie jest dość proste do zrozumienia – logowanie (wymagające hasła i np. kodu z SMS-a) odbywa się na początku połączenia – do dalszej komunikacji wystarczy ID sesji (który można wykraść z podatnego serwera VPN, nie posiadając żadnych danych dostępowych).
Przykładowa jednostka publikowanych danych (część haseł jest w formie jawnej, część w formie hashy):
Tutaj z kolei przykładowe domeny:
Few hours ago another Threat Actor published the list of domains related to those IPs.
On the list there are different .gov domains, banks and other large companies! pic.twitter.com/WXM59kbjmE
— Bank Security (@Bank_Security) August 5, 2020
Co robić? Przypominam, że w tym wątku chodzi o podatne Pulse Secure – więc warto sprawdzić czy nie używamy takiego (niezałatanego) rozwiązania. Jeśli z kolei ktoś z Was chciałby zrobić rekonesans Waszej organizacji z zewnątrz (np. w celu wykrycia tego typu problemów) – prośba o kontakt (sekurak@sekurak.pl).
–Michał Sajdak