Список, содержащий ясные имена пользователей и пароли, а также IP-адреса более 900 VPN-серверов, принадлежащих Pulse Secure VPN, был размещен в Интернете и распространен на хакерском форуме, используемом киберпреступниками. Как сообщает ZDNet, опубликовавший эту историю, подлинность списка была проверена несколькими источниками в сообществе кибербезопасности и включает IP-адреса серверов Pulse Secure VPN, версии прошивки серверов Pulse Secure VPN, ключи SSH для всех 900 серверов, чистые имена пользователей. и пароли. , данные учетной записи администратора, файлы cookie сеанса VPN и многое другое. Компания Bank Security, занимающаяся разведкой угроз, сначала обнаружила список в Интернете, а затем поделилась им со средствами массовой информации. Один из исследователей безопасности компании отметил, что на всех перечисленных VPN-серверах установлена более старая версия прошивки, которая уязвима к уязвимости обхода аутентификации, отслеживаемой как CVE-2019-11510. Исследователи Bank Security полагают, что хакер просканировал все адреса IPv4 в Интернете на наличие серверов Pulse Secure VPN, а затем воспользовался уязвимостью, чтобы получить доступ к системам компании и данным серверов. Затем эта информация была собрана в центральный репозиторий, и, судя по временным меткам в списке, имена пользователей, пароли и сведения о сервере были собраны в период с 24 июня по 8 июля.
Загрузка данных Pulse Secure VPN
Компания Bad Packets, занимающаяся разведкой угроз, сканирует Интернет на наличие уязвимых VPN-серверов Pulse Secure с августа прошлого года, когда была обнародована уязвимость CVE-2019-11510. ZDNet обратился к компании по поводу списка, и ее соучредитель и главный исследователь Трой Мурш предоставил дополнительную информацию по этому вопросу, заявив: «Из 913 уникальных IP-адресов, найденных в этом дампе, 677 были обнаружены при сканировании CTI Bad Packets как уязвим для CVE-2019-11510, когда эксплойт был обнародован в прошлом году». Согласно списку, 677 компаний не обновили свое программное обеспечение VPN с момента обнародования уязвимости. Однако этих решений уже будет недостаточно, поскольку уязвимым организациям также придется менять свои имена пользователей и пароли, чтобы не стать жертвой потенциальных атак. Компании, использующие Pulse Secure VPN, должны немедленно исправить свои системы и обновить свои учетные данные, поскольку список также был опубликован на хакерском форуме, который часто посещают несколько операторов программ-вымогателей, включая киберпреступников, стоящих за Sodinokibi и Lockbit. Это означает, что учетные данные многих клиентов Pulse Secure VPN не только доступны в Интернете, но, вероятно, уже находятся в руках киберпреступников, которые будут использовать эту утекшую информацию в своих целях.- Также ознакомьтесь с нашим полным списком лучших VPN-сервисов.