Vulnerabilidad explotada de Pulse Secure VPN para transmitir ransomware

Una vulnerabilidad ampliamente conocida que afecta a un producto VPN empresarial de Pulse Secure ha sido explotado por ciberdelincuentes para entregar una pieza de ransomware, advirtió un investigador.

 

La falla en cuestión, rastreada como CVE-2019-11510, es uno de los muchos agujeros de seguridad revelados el año pasado por un equipo de investigadores en productos VPN empresariales de Fortinet, Palo Alto Networks y Pulse Secure. Los investigadores advirtieron en el momento de la divulgación que las vulnerabilidades podrían explotarse para infiltrarse en las redes corporativas, obtener información confidencial y espiar las comunicaciones.

Los primeros intentos de explotar las vulnerabilidades contra los productos Fortinet y Pulse Secure se detectaron el 21 y 22 de agosto; los intentos representaron principalmente una actividad de escaneo con el objetivo de identificar sistemas vulnerables.

A pesar de los parches puestos a disposición por los proveedores afectados, muchas organizaciones aún no los han aplicado, lo que permite a los actores de amenazas aprovechar las vulnerabilidades en sus ataques.

Pulse Secure lanzó un parche para CVE-2019-11510 en abril de 2019, meses antes de que se revelaran los detalles de la vulnerabilidad, y el proveedor afirmó a fines de agosto que la mayoría de sus clientes habían instalado la solución.

Sin embargo, Bad Packets, que monitorea Internet en busca de ataques, informó en ese momento que aún había más de 14,000 puntos vulnerables de Pulse Secure VPN alojados por más de 2,500 organizaciones. Incluso ahora, Bad Packets afirma que todavía hay casi 4,000 servidores vulnerables , incluidos más de 1,300 en los Estados Unidos.

CVE-2019-11510 es una vulnerabilidad de lectura de archivos arbitraria que puede ser explotada por atacantes no autenticados para obtener claves privadas y contraseñas. Pueden usar las credenciales obtenidas en combinación con una vulnerabilidad de inyección remota de comandos en los productos Pulse Secure (CVE-2019-11539), lo que les permite obtener acceso a redes VPN privadas.

Bad Packets ha estado trabajando con equipos nacionales de respuesta a emergencias informáticas y otras organizaciones en un esfuerzo por lograr que las organizaciones afectadas reparen sus VPN. A principios de octubre, la NSA y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido emitieron alertas para advertir a las organizaciones que las vulnerabilidades que afectaban a las VPN de Pulse Secure, Fortinet y Palo Alto Networks habían sido explotadas en ataques, incluso por actores de amenazas patrocinados por el estado.

El investigador de ciberseguridad con sede en el Reino Unido Kevin Beaumont informó hace unos días que se dio cuenta de los ataques que explotaban la vulnerabilidad Pulse Secure para entregar un ransomware de cifrado de archivos rastreado como Sodinokibi y REvil.

Sodinokibi, que los cibercriminales también entregaron el año pasado a través de una vulnerabilidad de Oracle WebLogic Server poco después de que se reparó la falla, generalmente pide a las víctimas que paguen miles de dólares para recuperar sus archivos.

Beaumont dijo que se había dado cuenta de dos «incidentes notables» en los que se creía que Pulse Secure era la causa de la violación.

«En ambos casos, las organizaciones tenían sistemas Pulse Secure sin parchear, y la huella era la misma: se obtuvo acceso a la red, se obtuvo el dominio de administrador, se utilizó VNC para moverse por la red (en realidad instalaron VNC a través de psexec, como java. exe), y luego se deshabilitaron las herramientas de seguridad de punto final y Sodinokibi fue empujado a todos los sistemas a través de psexec ”, explicó en una publicación de blog .

También afirmó haber visto un incidente en el que se confirmó que Pulse Secure era el punto de entrada a la red de la víctima.

Curiosamente, Bad Packets señaló que notificó a Travelex sobre la vulnerabilidad Pulse Secure a mediados de septiembre, informando a la compañía que tenía varios servidores vulnerables.

Travelex, una casa de cambio con sede en el Reino Unido, cerró recientemente su sitio web y otros servicios en respuesta a un ataque de malware , pero no se ha hecho pública ninguna información sobre cómo los atacantes violaron sus sistemas. Sin embargo, algunos afirmaron que el ataque involucró una pieza de ransomware.

Pulse Secure ha proporcionado a SecurityWeek la siguiente declaración:

Pulse Secure proporcionó públicamente una corrección de parche el 24 de abril de 2019 que debería aplicarse inmediatamente a Pulse Connect Secure (VPN). La vulnerabilidad CVE2019-1150 es muy crítica. Los clientes que ya hayan aplicado este parche no serán vulnerables a esta vulnerabilidad de malware. Como nos hemos comunicado anteriormente, instamos a todos los clientes a que apliquen la corrección del parche.

Más allá de emitir el Aviso de seguridad pública original – SA44101, pero a partir de ese día en abril, informamos a nuestros clientes y proveedores de servicios sobre la disponibilidad y la necesidad del parche por correo electrónico, en alertas de productos, en nuestro sitio comunitario, dentro de nuestro portal de socios, y nuestro sitio web de atención al cliente. Desde entonces, nuestros gerentes de éxito de clientes también se han contactado directamente y han trabajado con ellos. Además, los ingenieros de soporte de Pulse Secure han estado disponibles las 24 horas del día, los 7 días de la semana, incluidos los fines de semana y días festivos, para ayudar a los clientes que necesitan asistencia para aplicar el parche. También ofrecimos asistencia a los clientes para reparar estas vulnerabilidades, incluso si no tenían un contrato de mantenimiento activo. Los clientes que necesiten asistencia deben comunicarse con el soporte de Pulse Secure utilizando la información de contacto en la siguiente URL:

https://support.pulsesecure.net  

 

Hemos estado actualizando el aviso según sea necesario. A principios de enero, la mayoría de nuestros clientes han aplicado con éxito la corrección del parche y ya no son vulnerables. Pero desafortunadamente, hay organizaciones que aún no han aplicado este parche. De los servidores VPN originales que Bad Packets informó que estaban en riesgo en agosto, estimamos que menos del 10% de todos los clientes siguen siendo vulnerables. Continuamos solicitando a los clientes que apliquen la corrección del parche de abril a sus sistemas VPN; este parche del lado del servidor no requiere la actualización del cliente.

 

Los actores de amenazas aprovecharán la vulnerabilidad que se informó en los productos VPN Pulse Secure, Fortinet y Palo Alto, y en este caso, explotarán los servidores VPN no parcheados para propagar malware, REvil (Sodinokibi), distribuyendo y activando el Ransomware a través de mensajes interactivos de la interfaz VPN para los usuarios que intentan acceder a los recursos a través de servidores Pulse VPN no parcheados y vulnerables «.

Fuente: SecurityWeek.com

Comments are closed.