gruppi di hacker sono stati trovati ad utilizzare il software VPN obsoleto e exploit specifici trovato in loro per spiare le vittime. Questo è secondo diversi rapporti da agenzie di sicurezza governative. Ciò è particolarmente pericoloso in quanto i collettivi criminali possono utilizzare questo contro le reti statali o società.
Software VPN Vulnerabile utilizzato per spiare gli utenti
Gli hacker stanno sfruttando software VPN, al fine di assumere il controllo delle reti che sono di proprietà di società di alto profilo e gli obiettivi del governo. La notizia arriva dalla NCSC (Centro Nazionale Cyber Security) del Regno Unito, che ha riferito sulla questione. Essi hanno rilevato diversi casi in cui gruppi di hacker stanno sfruttando attivamente i prodotti più diffusi tra cui quelli di fornitori ben noti come Pulse sicuro, Palo Alto e Fortinet. I criminali sembrano destinazione attualmente entrambe le organizzazioni internazionali e le reti specifiche che si trovano nel Regno Unito. Il NCSC elenca che i settori in cui operano varia tra militari, accademico, sanitari e di business industrie a reti governative.
I problemi che sono mirati sono principalmente informazioni pubblicamente disponibili su exploit. I criminali utilizzano le conoscenze acquisite per superare la protezione del software e rompere il meccanismo di autenticazione. Una volta che gli hacker sono in essi saranno in grado di connettersi al client VPN, modificare le impostazioni utente o reindirizzare il traffico ai server controllati dai criminali.
Il Software Exploit VPN ampiamente usato
I ricercatori di sicurezza hanno rivelato alcune delle imprese più utilizzati che vengono utilizzati dagli aggressori per rompere le reti. Il modo più comune questo viene fatto è quello di caricare l'appropriata sfruttare in toolkit di hacking automatizzati e personalizzare di conseguenza.
Per Pulse Collegare sicuro:
- CVE-2.019-11.510 - Si tratta di una lettura di file arbitrari difettoso che viene fatto prima di avviare la procedura di autenticazione. Esso può essere rilevato da una ricerca dei file di registro per gli URL che contengono il “?” stringa e termina con il seguente: /dana / html5acc / guacamole / (Espressione regolare: \?.*dana / html5acc / guacamole /. Questo può indicare che un attacco è stato fatto.
- CVE-2.019-11.539 - Questo è un bug command injection. Gli amministratori della sicurezza possono controllare se sono stati colpiti dalla ricerca di richieste al seguente /dana-admin/diag/diag.cgi file con un opzioni = parametro nell'URL. Exploit quasi certamente contiene i seguenti argomenti: -r, # o 2>.
Le soluzioni che vengono offerti da Fortinet sono stati trovati vulnerabili ai seguenti exploit:
- CVE-2.018-13.379 - Questa è la lettura di file di file che viene fatto prima che il processo di autenticazione.
- CVE-2.018-13.382 - In questo modo gli hacker che non hanno superato l'autenticazione di cambiare le credenziali di VPN utenti del portale web.
- CVE-2.018-13.383 - Questo è un bug di overflow heap. Quando sfruttati permette agli hacker di accedere al prompt dei comandi dei sistemi vittima.
Infine il prodotto VPN offerto da Palo Alto è stato trovato per cadere vittima di CVE-2019-1579 che è un problema nel Global Protect Portal.
amministratori di computer sono invitati a proteggere le loro reti, applicando gli ultimi aggiornamenti per le loro installazioni VPN. Questo proteggerà il software da diventare colpiti dalle debolezze. Tuttavia, per proteggersi meglio possono anche prendere altre misure come pure. Questo include il riconfigurazione dei clienti locali. Gli amministratori di sistema possono avere bisogno di andare oltre le chiavi di autorizzazione SSH e le regole di iptables per verificare se ci sono possibilità di dirottare il sistemi. Sarebbe saggio di andare oltre i file di log e controllare eventuali attività sospette e bloccare gli indirizzi IP dei intrusi. In alcune situazioni può essere utile per pulire la memoria e la fabbrica ripristinare i dispositivi. Un buon consiglio è anche quello di consentire autenticazione a due fattori e disattivare tutti i servizi non necessari.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: