Хакери са внедрили рансъмуер в системите на американски болници и държавни институции, използвайки откраднати идентификационни данни за активни директории месеци след като са използвали известна уязвимост за дистанционно изпълнение на код (RCE) в своите Pulse Secure VPN сървъри. Въпреки че уязвимостта, проследявана като CVE-2019-11510, беше закърпена от Pulse Secure преди една година, Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) предупреди организациите през януари 2020 г. да поправят своите Pulse Secure VPN сървъри срещу продължаващи атаки, след пореден сигнал през октомври 2019г.
ФБР също заяви във флаш сигнал за сигурност от януари т.г., че правителствено финансирани хакери са нарушили мрежите на американско общинско правителство и американско финансово образувание, след като са използвали уязвимости в Pulse Secure за VPN. Въпреки всички тези предупреждения, CISA трябваше да издаде още един сигнал в края на май, призовавайки организациите незабавно да поправят CVE-2019-11510, за да блокират нападателите да получат достъп до техните мрежи и да откраднат идентификационни данни на администратор на домейн.
„CISA наблюдава – след като идентификационните данни са компрометирани – авторите на киберзаплахите, осъществяващи достъп до мрежи на жертви чрез устройствата Pulse Secure VPN те използваха прокситата за свързване – като Tor инфраструктурата и виртуалните частни сървъри (VPS) – за да минимизират шанса за откриване, когато се свързват с пробитиVPN устройства.“ Един от хакерите, който CISA наблюдава, използвайки откраднати идентификационни данни след експлоатация на устройствата Pulse Secure VPN, успя да зарази и шифрова системите на няколко болници и правителствени структури на САЩ, използвайки полезен товар от рансъмуер. Същият е забелязан от агенцията за киберсигурност, докато „се опитва да продаде откраднатите идентификационни данни след 30 неуспешни опита да се свърже с клиентската среда, за да ескалира привилегиите и да пусне рансъмуера“. Хакери също бяха наблюдавани, докато използват инструменти за отдалечено администриране като TeamViewer и LogMeIn като импровизирани задни врати, предназначени да помогнат да се постигне постоянство в мрежите на жертвите им дори след изгонването им.
Ако не бъде поправена, CVE-2019-11510 може да позволи на неупълномощени хакери да компрометират уязвими VPN сървъри и да „получат достъп до всички активни потребители и техните пълномощни идентификационни данни“ и да изпълняват произволни команди, ако те също не променят паролите. Въпреки това, дори след закърпване на уязвимите сървъри на Pulse Secure VPN, „CISA е наблюдавала инциденти, при които компрометирани идентификационни данни на Active Directory са били използвани месеци след като организацията жертва е закърпила техния VPN уред.“ „Атаките, използващи уязвимостите в Pulse Connect Secure, все още продължават и дори се комбинират с рансъмуер, което може да повлияе на непрекъснатостта на бизнеса на организациите“, потвърди JPCERT по-рано този месец. CISA пусна помощна програма с отворен код, наречена check-your-pulse и предназначена да помогне на компаниите да анализират своите регистрационни файлове на Pulse Secure VPN, за да намерят индикатори за компрометиране и да решат дали е необходимо пълно нулиране на паролата за акаунт в Active Directory. Докато на 25 август 2019 г. фирмата за разузнаване на киберзаплахи Bad Packets откри 14 528 неконструирани сървъра Pulse Secure, миналия месец намери 2099 уязвими сървъра Pulse Secure VPN, достъпни през Интернет, след провеждане на 25-ия кръг на сканиране за уязвимост. Bad Packets също така забелязаха проверка на активността на масово сканиране за устройствата Pulse Secure VPN на 4 април и на 17 април. „CISA настоятелно призовава организации, които все още не са го направили, да надградят своята Pulse Secure VPN до съответните корекции за CVE-2019-11510“, заключава агенцията. „Ако – след прилагане на мерките за откриване в този сигнал – организации открият доказателства за експлоатация на CVE-2019-11510, CISA препоръчва промяна на паролите за всички акаунти на Active Directory, включително акаунти на администратори и услуги.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.