Хакер опубликовал список, который включает имена пользователей и пароли в виде обычного текста, а также IP-адреса для более чем 900 серверов Pulse Secure VPN. ZDNet с помощью компании по кибербезопасности "KELA" смог получить копию этого списка и проверить его подлинность с помощью многих источников на своем сайте. кибербезопасность.
Список включает следующее:
- IP-адреса Pulse Secure VPN-серверов
- SSH-ключи для каждого сервера
- Информация об учетной записи администратора
- Файлы cookie сеанса VPN
- Версия прошивки Pulse Secure VPN server
- Список всех локальных пользователей и их хэш-коды
- Последние подключения VPN, включая имена пользователей и пароли в виде обычного текста
Bank Security, аналитик угроз киберпреступности, также обнаружил список и поделился им с ZDNet и сделал интересный комментарий по поводу списка и его содержания. В частности, он сообщил, что все серверы Pulse Secure VPN, включенные в список, используют версию прошивки, которая уязвима для уязвимость расположен как CVE-2019-11510, Кроме того, компания считает, что хакер, создавший этот список, просканировал все адресное пространство IPv4 в Интернете на предмет наличия серверов Pulse Secure VPN, воспользовался уязвимостью CVE-2019-11510 для получения доступ в системы, извлекла информацию о сервере, включая имена пользователей и пароли, а затем собрала всю информацию в центральном репозитории.
Судя по информации в списке, можно предположить, что даты сканирования или дата составления списка относятся к периоду с 24 июня по 8 июля 2020 г.
Так же Плохие пакеты, компания по анализу угроз, базирующаяся в США, сканирует Интернет на наличие уязвимых серверов Pulse Secure VPN с августа 2019 года, когда уязвимость CVE-2019-11510 была опубликована. Компания отметила, что из 913 обнаруженных уникальных IP-адресов Bad Packets в ходе сканирования определили, что 677 были уязвимы для уязвимости CVE-2019-11510, когда эксплойт был обнародован в 2019 году.
Из списка следует, что 677 компаний не приступили к заплата с момента первого сканирования плохих пакетов в прошлом году, а сканирование в июне 2020 года было выполнено хакером. Даже если эти компании исправят серверы Pulse Secure, им также придется изменить пароли, чтобы хакеры не злоупотребляли их Полномочия которые просочились, чтобы захватить устройства, а затем распространились на их внутренние сети. Это очень важно, поскольку серверы Pulse Secure VPN обычно используются в качестве шлюзов для корпоративных сетей, чтобы сотрудники могли удаленно подключаться к внутренним приложениям через Интернет. Эти типы устройств в случае взлома могут позволить хакерам легко получить доступ ко всей внутренней сети компании. Именно поэтому APT и вымогателей Банды неоднократно атаковали эти системы.
Кроме того, этот список был опубликован на хакерском форуме, который посещают многие банды вымогателей. Например, банды из Revil (Содинокиби), NetWalker, Локбит, Вымогатели Avaddon, Makop и Exorcist использовать один и тот же форум для найма членов (разработчиков) и партнеров (клиентов). Многие из этих банд вторгаются в корпоративные сети, используя такие устройства, как серверы Pulse Secure VPN, а затем разрабатывают полезные нагрузки вымогателей и требуют от своих жертв огромных выкупов.
Публикация этого списка сопряжена с большим риском для любой компании, которая не смогла исправить Pulse Secure VPN в прошлом году, поскольку некоторые из банд вымогателей, действующих на этом форуме, весьма вероятно, будут использовать этот список для справок в будущем. нападки, Поэтому компаниям необходимо отремонтировать свои Pulse Secure VPN и сменить пароли.
Greek
Chinese (Simplified)
English
Greek
Russian