Hackean servidores de diferentes proveedores de VPN
Los servidores pertenecientes a las compañías de VPN NordVPN y TorGuard fueron hackeados.
Como resultado de la intrusión, los atacantes robaron y filtraron las claves privadas asociadas con los certificados utilizados para proteger sus servidores web y los archivos de configuración de VPN.
Durante el fin de semana pasado, el investigador de seguridad @hexdefined tuiteó que NordVPN, se vio comprometido ya que las claves privadas para el certificado de su sitio web se filtraron públicamente en Internet.
Si bien este certificado ya caducó, si se utilizó antes de su vencimiento, podría haber permitido a un atacante crear un sitio convincente que suplantara a NordVPN mediante el uso de su certificado.
Los atacantes más avanzados también podrían haber utilizado esta clave para realizar ataques de hombre en el medio (MiTM) para ver comunicaciones cifradas.
Para ilustrar cómo se podría haber creado un sitio falso utilizando el certificado de NordVPN, hexdefined compartió esta imagen.
Servidores de NordVPN, TorGuard y posiblemente VikingVPN hackeados
Además del certificado del sitio web, la cuenta de Twitter para el proveedor de OpenVPN, CryptoStorm, publicó un enlace a una publicación de 8chan donde un hacker afirmó tener acceso completo a los servidores que pertenecen a NordVPN, TorGuard y VikingVPN.
Esto permitió al atacante robar claves OpenVPN y archivos de configuración como se muestra en la imagen a continuación de la intrusión a NordVPN. CryptoStorm.is afirma que, al robar estas claves, podría haber permitido a un atacante descifrar el tráfico en el momento del incidente.
Desafortunadamente, NordVPN no estaba solo.
Esta misma publicación de 8chan también enlaza con el hackeo a un servidor que pertenece a TorGuard, donde se robaron un certificado de proxy Squid y claves OpenVPN y archivos de configuración.
Finalmente, un tercer enlace va a un supuesto incidente de un servidor propiedad de VikingVPN, donde el atacante robó las claves de OpenVPN y los archivos de configuración.
Declaraciones sobre los problemas de NordVPN y TorGuard
Si bien VikingVPN no ha respondido a ninguna de nuestras consultas, tanto NordVPN como TorGuard han emitido declaraciones.
Según una declaración emitida por NordVPN, el atacante pudo obtener acceso a sus servidores a través de una herramienta de gestión remota insegura, implementada por su centro de datos.
“Nos dimos cuenta de que, en marzo de 2018, se accedió sin autorización a uno de los centros de datos en Finlandia desde el que habíamos alquilado nuestros servidores.
El atacante obtuvo acceso al servidor al explotar un sistema de gestión remota inseguro que dejó el proveedor del centro de datos, mientras estábamos sin saber que existía tal sistema.
El servidor en sí no contenía ningún registro de actividad del usuario; ninguna de nuestras aplicaciones envía credenciales creadas por el usuario para la autenticación, por lo que los nombres de usuario y las contraseñas tampoco pudieron haber sido interceptados.
El archivo de configuración exacto encontrado en Internet por los investigadores de seguridad, dejó de funcionar el 5 de marzo de 2018. Este fue un caso aislado y ningún otro proveedor de centros de datos que utilizamos se ha visto afectado”.
NordVPN afirma además que la clave TLS tomada por el atacante ya había expirado y, al contrario de lo que dijo Cryptostorm.io, no se pudo descifrar el tráfico VPN en el momento del ataque.
TorGuard
En una declaración de TorGuard, el proveedor de VPN afirma que, al utilizar la “gestión segura de PKI”, ninguno de sus usuarios de VPN se vio afectado por esta violación y su clave de CA no fue robada ya que no estaba presente en el servidor comprometido
“TorGuard fue el único que usó la administración segura de PKI, lo que significa que nuestra clave principal de CA no estaba en el servidor VPN afectado”.
Afirman además que el certificado TLS robado para *.torguardvpnaccess.com es para un “certificado de proxy squid que no ha sido válido en la red TorGuard desde 2017”.
Si bien, no entran en detalles sobre cómo fue hackeado el servidor, sí afirman que hubo “actividad sospechosa repetida” en el distribuidor al que alquilaron el servidor y que ya no trabajan con ellos.
TorGuard afirmó además que el servidor comprometido está relacionado con una demanda que presentaron contra NordVPN en 2019.
“TorGuard se dio cuenta por primera vez de esta divulgación durante mayo de 2019 y, en un evento relacionado, presentamos una queja legal contra NordVPN en Florida el 27 de junio de 2019”.
Como se indicó anteriormente, VikingVPN no ha respondido a nuestras consultas sobre su servidor.
Nunca afirmes que no puedes ser hackeado
Si bien usar estos certificados para realizar un ataque MiTM contra los visitantes de TorGuard y NordVPN sería difícil, una cosa que hemos aprendido con el tiempo es que nada es 100% seguro.
De hecho, cualquiera que afirme que es inhackeable o que es inmune a los hackers se demuestra rápidamente que es falso.
Esto se demostró claramente, ya que el incidente se produjo horas después de que NordVPN decidiera publicar un anuncio en Twitter que decía “No hay hacker que pueda robar tu vida en línea (si usas una VPN). Mantente a salvo”.
Este anuncio fue retirado poco después.
Uso NordVPN recomiendan cambiar