Nos últimos dias, os hackers têm procurado VPNs SSL fabricadas pela Fortinet e pela Pulse Secure que ainda precisam ser atualizadas para corrigir sérias falhas de segurança, alertam especialistas em segurança.
Houve um aumento nas tentativas de verificação por parte dos invasores para localizar e invadir automaticamente esses dispositivos, explorando falhas conhecidas que lhes permitem roubar senhas e outros dados confidenciais. Com as senhas roubadas em mãos, os invasores podem obter acesso remoto remoto às redes das organizações.
Os ataques ocorrem apesar de os dois fabricantes terem lançado patches há vários meses – Pulse Secure em abril, Fortinet em maio – através de atualizações de firmware que incluíam correções de segurança. Ambos os fornecedores alertaram que todos os clientes devem instalar as atualizações o mais rápido possível, dada a gravidade das falhas. Muitas organizações, no entanto, aparentemente ainda precisam instalar o software atualizado e, portanto, permanecem em risco elevado de escalar as tentativas de exploração.
As verificações na Internet contam pelo menos 480.000 pontos de extremidade do Fortinet Fortigate SSL VPN conectados à Internet, embora não esteja claro quantos permanecem sem patch. Porém, especialistas dizem que dos cerca de 42.000 pontos de extremidade da VPN SSL seguros do Pulse vistos on-line, mais de 14.000 deles – a maioria dos quais localizados nos Estados Unidos – permanecem sem remendos.
Ataques Escalam
Nos últimos dias, os relatórios de ataques contra as VPNs vulneráveis Pulse Secure e Fortinet SSL têm aumentado.
Na quinta-feira, Troy Mursch, da empresa de inteligência de ameaças Bad Packets, com sede em Chicago, alertou que os honeypots de sua empresa haviam detectado atividades de varredura em massa oportunistas e em larga escala por hackers que procuravam servidores SSL SSL Secure Pulse vulneráveis ao CVE-2019-11510. “Essa vulnerabilidade arbitrária na leitura de arquivos permite a divulgação de informações confidenciais, permitindo que invasores não autenticados acessem chaves privadas e senhas de usuários”, disse ele. “Uma exploração adicional usando as credenciais vazadas pode levar à injeção de comandos remotos (CVE-2019-11539) e permitir que os invasores obtenham acesso dentro da rede VPN privada”.
O pesquisador de segurança britânico independente Kevin Beaumont na quinta-feira também relatou ter visto atacantes ativamente alvejando o CVE-2019-11510 em versões sem patch do Pulse Secure SSL VPN.
“Muitas empresas têm o básico sobre como corrigir o Windows e o Linux, pois possuem plataformas e agentes de gerenciamento de vulnerabilidades”, disse Beaumont. “Isso não se estende ao FortiOS e ao Pulse Secure. Portanto, eles simplesmente não corrigem porque nunca veem [vulnerabilidades].”
Alvo: VPNs SSL Pulse
No sábado, Mursch disse que quase 15.000 servidores Pulse Secure VPN não corrigidos ainda pareciam estar em risco, com base em uma análise das verificações que ele conduziu usando o BinaryEdge, que encontrou um total de 41.850 pontos de extremidade VPN seguros do Pulse, a maioria dos quais foi corrigida.
“Nossas varreduras encontraram um total de 14.528 pontos de extremidade VPN seguros e seguros vulneráveis ao CVE-2019-11510”, diz Mursch, além de 2.535 redes exclusivas com dispositivos vulneráveis em 121 países.
Mursch diz que os endereços IP de vulneráveis Pulse Secure VPNs rastreiam:
- Principais instituições financeiras;
- Agências militares, federais, estaduais e locais dos EUA;
- Universidades e escolas públicas;
- Hospitais e profissionais de saúde;
- Serviços de eletricidade e gás;
- Inúmeras empresas da Fortune 500
O maior número de organizações com VPNs Pulse Secure SSL sem patch está localizado nos EUA “A lista de organizações afetadas não será publicada porque é fácil explorar esta vulnerabilidade crítica usando código de prova de conceito disponível ao público”, disse Mursch. Mas ele observou que compartilhou suas descobertas com o US-CERT e as agências federais de aplicação da lei e as compartilhará gratuitamente com a equipe de resposta a emergências de computadores de qualquer país.
Alvo: VPNs SSL Fortinet
Os relatórios de varredura em massa para identificar e explorar VPNs Fortigate SSL vulneráveis também estão aumentando. No domingo, Beaumont relatou ter visto “o backdoor Fortigate SSL VPN sendo usado em estado selvagem” por meio de um de seus honeypots.
“O CVE-2018-13379 está sendo explorado na natureza nos firewalls Fortigate SSL VPN”, diz Beaumont. “Esses [dispositivos] existem como um controle de segurança de perímetro, por isso é uma vulnerabilidade ruim.”
Os mesmos pesquisadores alertaram os dois fornecedores
Quão difundidas são essas falhas nas VPNs SSL? Os pesquisadores Meh Chang (@mehqq_) e Orange Tsai (@ orange_8361) da consultoria Devcore, de Taipei City, Taiwan, fizeram essa pergunta em agosto passado, dada a prevalência e a dependência de tais equipamentos.
“E se esse equipamento confiável for inseguro? É um ativo corporativo importante, mas um ponto cego da corporação”, disseram eles.
Além disso, eles observaram que, entre as 500 maiores empresas americanas de capital aberto, apenas três fornecedores de VPN SSL ocupavam 75% do mercado. “A diversidade da VPN SSL é estreita. Portanto, uma vez que encontramos uma vulnerabilidade crítica na principal VPN SSL, o impacto é enorme”, disseram eles. “Não há como nos impedir porque a VPN SSL deve ser exposta à Internet.”
Com base na contagem de vulnerabilidades e exposições comuns recentes expostas publicamente em VPNs SSL, parecia que o equipamento da Cisco seria o mais arriscado. Para testar essa hipótese, os pesquisadores começaram a analisar as VPNs SSL e descobriram falhas exploráveis nos equipamentos Pulse Secure e Fortinet. Os pesquisadores relataram falhas no Fortinet em 11 de dezembro de 2018 e no Pulse Secure em 22 de março.
String ‘mágica’ desbloqueia equipamentos Fortinet
Em resposta, a Fortinet lançou um aviso de segurança em 24 de maio e atualizações para corrigir 10 falhas, algumas das quais poderiam ser exploradas para obter acesso total e remoto a um dispositivo e à rede que ele deveria proteger. Em particular, alertou que uma das falhas, “uma vulnerabilidade de passagem no caminho no portal da web FortiOS SSL VPN” – CVE-2018-13379 – pode ser explorada para permitir que “um invasor não autenticado faça o download de arquivos do sistema FortiOS por meio de recursos HTTP especialmente criados solicitações de.”
Esses arquivos de sistema FortiOS contêm informações confidenciais, incluindo senhas, o que significa que os invasores podem se dar rapidamente para obter acesso total a uma rede corporativa.
Em seu alerta de segurança, a Fortinet alertou todos os usuários para atualizar seu firmware para o FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0 ou superior, para se protegerem. Em 4 de junho, também detalhou algumas soluções temporárias que poderiam ajudar a proteger as organizações até que pudessem instalar o patch.
Em um post publicado no mês passado, os pesquisadores do Devcore recapitularam sua demonstração do Black Hat 2019 desde o início de agosto, demonstrando como as falhas encontradas em dispositivos Fortinet poderiam ser exploradas.
“Na página de login, encontramos um parâmetro especial chamado mágica. Uma vez que o parâmetro encontra uma string codificada, podemos modificar a senha de qualquer usuário”, disseram os pesquisadores.
Dado o grande número de VPNs Fortigate SSL que ainda pareciam não ter sido corrigidas, os pesquisadores disseram que não divulgariam publicamente a sequência mágica. Mas eles observaram que a consultoria de segurança alemã Code White também identificou a falha subjacente e disseram que era certo que os atacantes maliciosos também a encontrariam rapidamente. “Atualize seu Fortigate o mais rápido possível!” eles disseram.
Patches emitidos pela Pulse Secure em abril
A Pulse Secure, cerca de quatro semanas após receber o alerta de bug dos pesquisadores da Devcore em março, lançou em 24 de abril o software atualizado e pediu aos clientes que atualizassem todos os produtos afetados “o mais rápido possível”. O fornecedor alertou que o código de exploração já havia sido lançado e que, além do patch, nenhuma solução alternativa protegeria os sistemas. Posteriormente, no entanto, ele tem soluções alternativas detalhadas, mas apenas para duas das 10 vulnerabilidades diferentes que estava corrigindo.
“Várias vulnerabilidades foram descobertas e foram resolvidas no Pulse Connect Secure (PCS) e no Pulse Policy Secure (PPS)”, disse o Pulse Secure em seu alerta de 24 de abril. “Isso inclui uma vulnerabilidade de desvio de autenticação que pode permitir que um usuário não autenticado execute um acesso remoto a arquivos arbitrários no gateway seguro do Pulse Connect. Este comunicado também inclui uma vulnerabilidade de execução remota de código que pode permitir que um administrador autenticado execute a execução remota de código no Pulse Connect Política segura e de pulso Gateways seguros. Muitas dessas vulnerabilidades têm uma pontuação crítica no CVSS e representam riscos significativos para sua implantação. “
Pelas dez falhas que a Pulse Secure corrigiu, creditou sua descoberta coletiva a Tsai e Chang, da Devcore, além de Jake Valletta, da FireEye, dizendo que relataram as falhas ao fornecedor em 22 de março.
Na quarta-feira, os caçadores de erros Alyssa Herrera e Justin Wagner criaram um módulo disponível gratuitamente para o Metasploit, a estrutura de teste de penetração de código aberto, que eles dizem explorar a “vulnerabilidade arbitrária de divulgação de arquivos” – CVE-2019-11510 – em “Pulse Secure SSL VPN versões 8.1R15.1, 8.2, 8.3 e 9.0. “
Desafio repetido
Esta não é a primeira vez que falhas sérias são encontradas e corrigidas em equipamentos de rede de nível empresarial.
Em 2016, por exemplo, especialistas alertaram que haviam encontrado uma vulnerabilidade no FortiGate OS – o firmware que executa seus dispositivos – que funcionava como backdoor SSH, pouco tempo depois que os pesquisadores encontraram uma falha no desvio de autenticação no firmware ScreenOS da Juniper. Na época, a Juniper alertou que seu código pode ter sido adulterado. A Fortinet, no entanto, disse que uma revisão de código provou que o erro era inadvertido (consulte: Fortinet refuta o relatório ‘Backdoor’ do SSH).
FONTE: https://www.bankinfosecurity.com/hackers-hit-unpatched-pulse-secure-fortinet-ssl-vpns-a-12958