0
0
Duas VPNs corporativas populares foram exploradas por cibercriminosos, depois que suas vulnerabilidades foram divulgadas na conferência de segurança Black Hat deste ano, que aconteceu no início do mês.
As vulnerabilidades vieram a público durante a palestra Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs, mostrando detalhes sobre várias vulnerabilidades encontradas em VPNs de uso corporativo. As vítimas foram, no entanto, apenas a Pulse Secure VPN e FortiGate VPN.
Acredita-se que os cibercriminosos se aproveitaram não só das informações fornecidas no palco do evento, como também em uma publicação no blog da empresa, que conta com detalhes técnicos e códigos de demonstração para várias vulnerabilidades nas duas VPNs.
Os cibercriminosos se aproveitaram, então, para explorar o CVE-2019-11540 que afeta o Pulse Secure e o CVE-2018-13379 que afeta o FortiGate. Ambas as vulnerabilidades se tratam de leituras de arquivo pré-autenticadas que permitem aos hackers a recuperação de arquivos sem a necessidade de autenticação.
Pesquisadores de segurança da empresa Bad Packets afirmam que os hackers estão procurando por dispositivos vulneráveis para, então, recuperar arquivos de senha do sistema do Pulse Secure ou arquivos de sessão. Com esses arquivos em mão, os invasores conseguem se autenticar nos dispositivos ou ainda falsificar uma sessão de VPN ativa.
A Bad Packets compartilhou em seu blog oficial que existem quase 42 mil sistemas de VPN da Pulse Secure e que quase 15.400 não foram corrigidos. Inclusive, a empresa acredita que a quantidade de VPNs da FortiGate já chegue a centenas de milhares, mas ainda não há estatísticas exatas sobre quantas estão vulneráveis.
Clientes das duas empresas estão sendo aconselhados a fazer a correção do software o quanto antes.