Namierzyli ~1000 podatnych VPNów na całym świecie i udostępnili sieci do przejęcia przez ransomware. Na celowniku banki, instytucje rządowe, … Są również instytucje z Polski

05 sierpnia 2020, 11:39 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę):

O samej podatności (czy raczej podatnościach) pisaliśmy już jakiś czas temu. W skrócie – np. na przykładzie Twittera udało się:
a) dostać do sieci (wewnętrznej) b) ominąć 2FA c) wykonać kod na urządzeniu (RCE).

Napastnicy wykonali najpierw prosty rekonesans (z doniesień wynika, że po ~całym Internecie; kto wie czy nie użyli np. narzędzia typu Shodan czy Zoomeye), następnie sprawdzili, które urządzenia są podatne, w kolejnym kroku wyciągnęli trochę istotnych danych – m.in. ostatnie logowania do VPN (loginy, hasła), czy tzw. VPN session cookies. Te ostatnie są o tyle ciekawe, że czasem umożliwiają dostanie się na konto ofiary, nawet jeśli ma ona włączone 2FA. To ostatnie jest dość proste do zrozumienia – logowanie (wymagające hasła i np. kodu z SMS-a) odbywa się na początku połączenia – do dalszej komunikacji wystarczy ID sesji (który można wykraść z podatnego serwera VPN, nie posiadając żadnych danych dostępowych).

Przykładowa jednostka publikowanych danych (część haseł jest w formie jawnej, część w formie hashy):

Tutaj z kolei przykładowe domeny:

Co robić? Przypominam, że w tym wątku chodzi o podatne Pulse Secure – więc warto sprawdzić czy nie używamy takiego (niezałatanego) rozwiązania. Jeśli z kolei ktoś z Was chciałby zrobić rekonesans Waszej organizacji z zewnątrz (np. w celu wykrycia tego typu problemów) – prośba o kontakt (sekurak@sekurak.pl).

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz