Közel ezer nagyvállalati VPN szerver adatai szivárogtak ki

Közel ezer nagyvállalati VPN szerver hozzáférési adatait tették közzé ismeretlenek - számolt be a ZDNet. A nyilvánosságra került belépési információk hitelességét a KELA biztonsági cég szakértői is megerősítették. Az érzékeny adatok egy orosz nyelvű hackerfórumon szivárogtak ki, egyszerű szöveg formájában - azok mintegy 913 nagyvállalati Pulse Secure VPN szerverre nézve jelentenek biztonsági kockázatot.

A támadásra először a Bank Security biztonsági kutatói lettek figyelmesek, akik a lapot is értesítették az esetről. A kiszivárgott információk között az érintett Pulse Secure VPN szerverek IP-címei, firmware verziói, SSH kulcsai, helyi felhasználóinak listája és a hozzájuk tartozó jelszó-hash-ek, a rendszergazdai fiókok adatai, a szerverekre történő utolsó VPN-es bejelentkezésekre vonatkozó információk, beleértve a felhasználóneveket és egyszerű szöveges jelszavakat, illetve a VPN munkamenetekhez tartozó cookie-k is ott vannak.

EGY ÉVE ISMERT SEBEZHETŐSÉG

A Bank Security kutatói szerint minden érintett szerver olyan firmware-t futtatott, amelyben ott volt a CVE-2019-11510 kód alatt követett sebezhetőség - utóbbin keresztül egy megfelelően preparált URI (Uniform Resource Identifier) elküldésével a támadók tetszőleges fájlokat olvashatnak a célba vett szerveren.

Az elkövetők jó eséllyel a teljes IPv4-címteret végigszkennelték a Pluse Secure VPN szerverek után kutatva, majd az említett sérülékenységen keresztül szereztek azokhoz hozzáférést és nyerték ki az érintett adatokat, amelyeket aztán adatbázisba gyűjtöttek. A listában található időbélyegek alapján az elkövetők idén június 24. és július 8. között férhettek hozzá a szerverekhez - noha nem kizárt, hogy a dátumok csak a listaelemek felvételének időpontjait jelölik.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A szakértők a lapnak nyilatkozva elmondták, a listán talált 913 egyedi IP címből elemzésük szerint 677 volt sebezhető a fenti biztonsági résen keresztül, mikor azt tavaly nyilvánosságra hozták - úgy tűnik az érintett vállalatok azóta nem telepítették a szükséges biztonsági patch-eket a sérülékenység orvoslására. Ráadásul a frissítés önmagában még nem elég, a cégeknek jelszavaikat is meg kell változtatniuk a patch-et követően, hogy a hibának köszönhetően potenciálisan korábban kiszivárgott belépési adatokkal ne élhessenek vissza a támadók a belső rendszerekhez való hozzáférés végett.

A Pulse Secure VPN szerverek ugyanis sok esetben a cégek dolgozóinak távoli hozzáférését biztosítják a vállalati infrastruktúrához, így érthető, miért fontos azok védelmét folyamatosan naprakészen tartani. A fenti, kiszivárgott adatok birtokában illetéktelenek nem csak érzékeny vállalati adatokat szerezhetnek meg, de akár ransomware támadásokat is végrehatjhatnak, vagy egyéb kártevőket is eljuttathatnak a vállalati rendszerekre.

ÓRIÁSI BIZTONSÁGI KOCKÁZAT

A belépési adatokat tartalmazó adatbázis egyébként a szakértők szerint éppen egy olyan fórumon látott napvilágot, amelyet a ransomware-terjesztők is előszeretettel látogatnak - az többek között az ismert Sodinokibi, NetWalker, Lockbit, Avaddon és az Exorcist online bűnözőcsoportok tagjai között is népszerű "ügyfélszerzési" felület.

Ennek megfelelően az adatszivárgásban érintett vállalatoknál kiemelten fontos, hogy késlekedés nélkül foltozzák az említett sérülékenységet, és belépési adataikat is azonnal meg kell változtatniuk. Azt egyelőre nem tudni, hogy a listán szereplő szerverekre behatoltak-e illetéktelenek, (a sebezhetőség kezdeti kihasználásán kívül) és okoztak-e további károkat.