grupos de hackers foram encontrados para usar o software de VPN ultrapassada e específico explora encontrada neles para espionar as vítimas. Isso é de acordo com vários relatórios de agências de segurança do governo. Isso é particularmente perigoso, pois os coletivos criminosos podem usá-lo contra redes ou empresas estatais.
Software VPN vulnerável usado para espionar usuários
Os hackers de computador estão explorando o software VPN para assumir o controle das redes pertencentes a empresas de alto nível e alvos governamentais. As notícias saem do NCSC (National Cyber Security Center) do Reino Unido que informou sobre o assunto. Eles detectaram várias instâncias em que grupos de hackers estão explorando ativamente produtos populares, incluindo produtos de fornecedores conhecidos, como o Pulse Secure, Palo Alto e Fortinet. Atualmente, os criminosos parecem ter como alvo organizações internacionais e redes específicas encontradas no Reino Unido. O NCSC lista que os setores em que operam variam de acordo com as forças armadas., acadêmico, indústrias de saúde e negócios para redes governamentais.
Os problemas visados são principalmente informações publicamente disponíveis sobre explorações. Os criminosos usam o conhecimento adquirido para superar a proteção do software e quebrar o mecanismo de autenticação. Quando os hackers estiverem, eles poderão se conectar ao cliente VPN, modificar as configurações do usuário ou redirecionar o tráfego para servidores controlados pelos criminosos.
O software amplamente utilizado explora VPN
Os pesquisadores de segurança revelaram algumas das explorações mais usadas pelos invasores para quebrar as redes. A maneira mais comum de fazer isso é carregar a exploração apropriada em um kit de ferramentas de hackers automatizado e personalizá-lo de acordo..
Para Pulse Connect Secure:
- CVE-2019-11510 - Esta é uma leitura arbitrária de arquivos com falha, feita antes do início do procedimento de autenticação. Pode ser detectado pesquisando nos arquivos de log por URLs que contêm o “?” string e terminando com o seguinte: /dana / html5acc / guacamole / (Expressão regular: \?.*dana / html5acc / guacamole /. Isso pode indicar que um ataque foi feito.
- CVE-2019-11539 - Este é um bug de injeção de comando. Os administradores de segurança podem verificar se foram afetados pesquisando solicitações para o seguinte arquivo /dana-admin/diag/diag.cgi com um parâmetro options = na URL. Explorações quase certamente conterão os seguintes argumentos: -r, # ou 2>.
As soluções oferecidas pela Fortinet foram considerados vulneráveis às seguintes explorações:
- CVE-2018-13379 - Esta é a leitura de arquivos que é feita antes do processo de autenticação.
- CVE-2018-13382 - Isso permite que hackers que não passaram na autenticação alterem as credenciais dos usuários do portal da VPN.
- CVE-2018-13383 - Este é um bug de estouro de pilha. Quando explorado, permite que os hackers acessem o prompt de comando dos sistemas das vítimas.
Finalmente, o produto VPN oferecido pela Palo Alto foi encontrado para ser vítima de CVE-2019-1579 que é um problema no Global Protect Portal.
Os administradores de computadores são instados a proteger suas redes aplicando as atualizações mais recentes em suas instalações VPN. Isso protegerá o software de ser afetado pelas fraquezas. No entanto, para se proteger melhor, eles também podem tomar outras medidas também. Isso inclui o Reconfiguraçao dos clientes locais. Os administradores de sistema podem precisar revisar as chaves de autorização SSH e as regras do iptables para verificar se há alguma possibilidade de seqüestrar os sistemas. Seria sensato examinar os arquivos de log e monitorar qualquer atividade suspeita e bloquear os endereços IP dos invasores. Em algumas situações, pode ser útil limpar a memória e redefinir os dispositivos de fábrica. Um bom conselho é também permitir autenticação de dois fatores e desativar todos os serviços desnecessários.