Hacker filtra contraseñas para más de 900 servidores VPN empresariales

En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.

Un hacker ha publicado una lista de nombres de usuarios y contraseñas en texto plano. Esta información fue filtrada junto con direcciones IP para más de 900 servidores empresariales VPN de Pulse Secure.

ZDNet obtuvo una copia de esta lista con la ayuda de la firma de inteligencia de amenazas KELA. Hemos verificado la autenticidad de la información con múltiples fuentes en la comunidad de ciberseguridad.

Según una revisión, la lista incluye:

  • Direcciones IP de los servidores VPN de Pulse Secure
  • Versión de firmware de servidores VPN de Pulse Secure VPN
  • Claves SSH para cada servidor
  • Una lista de todos los usuarios locales y sus hashes de contraseñas
  • Detalles de la cuenta de administrador
  • Últimos inicios de sesión de VPN (incluidos nombres de usuario y contraseñas de texto sin cifrar)
  • Cookies de sesión de VPN

Bank Security, un analista de inteligencia de amenazas especializado en delitos financieros es quien analizó la lista y la compartió ayer. Bank Security hizo una observación interesante sobre la lista y su contenido.

Firmware vulnerable

El investigador de seguridad señaló que todos los servidores VPN de Pulse Secure incluidos en la lista ejecutaban una versión de firmware vulnerable a la vulnerabilidad CVE-2019-11510.

Bank Security cree que el hacker que compiló esta lista escaneó todo el espacio de direcciones IPv4 de Internet para los servidores VPN de Pulse Secure. El atacante usó un exploit para la vulnerabilidad CVE-2019-11510 para obtener acceso a los sistemas y obtener información del servidor. La información incluye los nombres de usuario y las contraseñas; luego recopiló toda la información en un repositorio central.

Los registros de tiempo en la lista (una colección de carpetas), las fechas de los escaneos son de hace un mes aproximadamente. Las fechas en que se compiló la lista oscilan entre el 24 de junio y el 8 de julio de 2020.

Servidores vulnerables

Bad Packets, una compañía de inteligencia de amenazas con sede en los EE. UU.  ha estado escaneando en Internet servidores VPN vulnerables de Pulse Secure. Los escaneos los inició desde agosto de 2019, cuando se hizo pública la vulnerabilidad CVE-2019-11510.

“De las 913 direcciones IP únicas encontradas en esa recuperación, 677 fueron detectadas por los escaneos de Bad Packets como vulnerables a CVE-2019-11510. Esto fue cuando el exploit se hizo público el año pasado”, afirmó el cofundador y director de investigación de Bad Packets.

De la lista, parece que las 677 compañías no parchearon desde el primer escaneo de Bad Packets el año pasado. Los escaneos de junio de 2020 realizados por el hacker lo demuestran.

Incluso si esas compañías aplican parches a sus servidores Pulse Secure, también necesitan cambiar las contraseñas. Deben cambiarlas para evitar que los hackers abusen de las credenciales filtradas para apoderarse de los dispositivos y luego extenderse a sus redes internas.

Esto es muy importante, ya que los servidores VPN de Pulse Secure generalmente se emplean como puertas de acceso a las redes corporativas. Son utilizadas para que el personal pueda conectarse de forma remota a aplicaciones internas a través de Internet. 

Este tipo de dispositivos, si se ven comprometidos, pueden permitir a los hackers acceder fácilmente a toda la red interna de una empresa. Es por eso que las APT y los grupos de ransomware se han dirigido a estos sistemas en el pasado.

Lista compartida en el foro frecuentado por grupos de ransomware

Para empeorar las cosas, la lista ha sido compartida en un foro de hackers que es frecuentado por múltiples pandillas de ransomware. Por ejemplo, los grupos de ransomware REvil (Sodinokibi), NetWalker, Lockbit, Avaddon, Makop y Exorcist tienen hilos en el mismo foro. Los grupos los usan para reclutar miembros (desarrolladores) y afiliados (clientes).

Muchos de estos grupos realizan intrusiones en las redes corporativas al aprovechar los dispositivos periféricos de la red, como los servidores VPN de Pulse Secure. Posteriormente implementan su payload de ransomware y exigen enormes demandas de rescate.

La publicación de esta lista como descarga gratuita es un nivel de peligro literal de DEFCON 1 para cualquier compañía que no haya parcheado. Están en riesgo todas las empresas que no hayan parcheado durante el año pasado. Es muy probable que algunos de los grupos de ransomware activos en este foro usen la lista para futuros ataques.

Como Bank Security afirmó, las compañías deben parchear sus servidores VPN de Pulse Secure y cambiar las contraseñas urgentemente.

*** La filtración se anunció como una lista de 1,800 servidores VPN de Pulse Secure vulnerables. Empero, al verificar solo se encontraron 900 servidores vulnerables.

Deja un comentario