A vulnerabilidade CVE-2019-11510 está sendo usada contra provedores de VPN em todo o mundo. Os relatórios de segurança disponíveis indicam que um coletivo criminoso está buscando ativamente quebrar as barreiras de segurança de vários provedores de serviços VPN. Isso é feito explorando uma vulnerabilidade recente que está sendo ativamente rastreada no comunicado CVE-2019-11510.
Vulnerabilidade CVE-2019-11510 usada contra provedores de serviços VPN
A vulnerabilidade CVE-2019-11510 foi encontrada para ser usada em ataques em tempo real contra provedores de VPN. Parece que este é um ataque global projetado para tentar intrusão nessas redes, tentando expor uma fraqueza delas. A campanha de ataque CVE-2019-11510 foi testada em Pulse Connect Secure serviço. A empresa foi capaz de reagir em tempo hábil às tentativas de invasão e divulgou um anúncio de segurança com mais detalhes sobre a falha. De acordo com as informações divulgadas, isso é classificado como um “vulnerabilidade de desvio de autenticação” que pode permitir que usuários não autenticados acessem arquivos no gateway do serviço. Em sistemas afetados, isso irá desencadear uma falha de execução remota de código. Todos os Pulse Connect Secure foram corrigidos para adiar qualquer tentativa de intrusão possível.
O problema associado a essa ameaça é a capacidade dos hackers de usar código disponível publicamente (postado online como prova de conceito). Isso torna muito fácil automatizar os ataques de hackers. Isso é feito armando o código de exploração e descobrindo os gateways de Internet voltados para o público que o serviço VPN de destino está usando.
Graças à análise de segurança completa, os pesquisadores de segurança foram capazes de descobrir quais são as ações que devem ser executadas uma vez que os hosts sejam infiltrados:
- O primeiro passo é a infecção inicial. Isso é feito explorando com sucesso o host com a falha CVE-2019-11510.
- A próxima etapa é baixar as credenciais da conta do sistema. Eles são feitos pegando o arquivo relevante do sistema de arquivos do servidor.
- De lá, os computadores infectados podem ser infectados com outros vírus e dados roubados.
Um ataque semelhante também foi encontrado para ser usado contra agências governamentais, instituições de educação pública, indústrias de utilidade, corporações financeiras e etc.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: