L'applicazione di un aggiornamento di sicurezza a un CVE rilasciato più di un anno fa avrebbe potuto impedire a un hacker di pubblicare nomi utente e password in chiaro, nonché indirizzi IP, per oltre 900 server aziendali Pulse Secure VPN.
“La lezione qui? Patch, patch, patch ", ha affermato Laurence Pitt, direttore della strategia di sicurezza globale presso Juniper Networks. "Il fatto che questa vulnerabilità abbia consentito di esporre combinazioni di nome utente / password in chiaro è già abbastanza grave, ma ciò che lo rende inaccettabile è che questo è stato segnalato in un CVE, rilasciato più di un anno fa e corretto in una versione successiva del prodotto."
Anche le società di ricerca avevano a lungo lanciato avvertimenti sulla vulnerabilità, CVE 2019-11510 , "rilasciando dati di prova per mostrare ciò che potrebbe e sarebbe stato esposto", ha detto Pitt.
"Un CVE è stato scoperto e annunciato nell'agosto 2019, ed eccoci qui quasi 12 mesi dopo e ancora, 677 dispositivi aziendali erano ancora privi di patch esponendo le porte aperte e le vulnerabilità VPN e consentendo l'accesso solo con un nome utente e una password", ha affermato Jason Garbis, vicepresidente senior, prodotti AppGate. "Tutto male. Nessuno penserebbe mai di progettare un nuovo sistema con questi tre difetti oggi. "
CVE 2019-11510 è stata una delle vulnerabilità sfruttate di recente dal russo Cozy Bear, APT29, nel tentativo di rubare la ricerca sul vaccino Covid-19 hackerando le prove sui vaccini e rilasciando malware WellMess e WellMail. È stato anche utilizzato come punto di ingresso dagli hacker di REvil / Sodinokibi ransomware che hanno colpito lo studio legale di celebrità Grubman, Shire, Meiselas e Sacks e hanno minacciato di rilasciare informazioni su clienti come Lady Gaga e Madonna e il presidente Trump.
Secondo un rapporto di ZDNet, oltre a nomi utente, password e indirizzi IP, l'hacker ha pubblicato chiavi SSH per server, hash password per utenti locali, cookie per sessioni VPN e ultimi accessi e informazioni sugli account amministratore. “Queste aziende sono a rischio immediato, poiché le loro reti private sono ora effettivamente esposte agli aggressori. Inoltre, è probabile che questi utenti abbiano riutilizzato le password per altri account, che ora sono anch'essi a rischio ", ha affermato Garbis. “È francamente inconcepibile che le organizzazioni continuino a esporre la" porta principale "delle reti a tutti gli avversari del pianeta. Esistono modi migliori e più sicuri per fornire agli utenti l'accesso remoto, senza mettere a rischio l'intera organizzazione ".
L'exploit e la perdita risultante potrebbero essere anche più grandi di quanto attualmente noto. “I dati pubblicati elencano solo 900 server. Quello che non sappiamo è quanti altri non sono stati rilasciati o, quali di questi potrebbero essere server sensibili che ora vengono puntati e stimolati nella pianificazione di un attacco più grande ", ha detto Pitt.
Il rapporto citava il ricercatore di sicurezza Bank Security come dicendo che tutti i server elencati eseguivano firmware vulnerabile al difetto.
Garbis ha detto che mentre "nessuna azienda può riparare tutte le vulnerabilità, è quasi impossibile", molte di loro dovrebbero "provare a patchare tutti i CVSS 8-10 come minimo", sottolineando che anche quella tattica "è difficile e non sempre infallibile com'è È molto difficile applicare patch ai sistemi di accesso alla rete di produzione come firewall e VPN poiché qualsiasi interruzione o finestra di manutenzione può costare all'azienda centinaia di migliaia di dollari. Questo è il motivo per cui le VPN sono costantemente un obiettivo enorme per i gruppi APT.
Oltre ad applicare patch ai server, l'utilizzo di una password monouso (OTP) "risolverà il problema" e ha esortato le organizzazioni a "proteggere anche gli endpoint remoti da attacchi futuri", ha affermato Eddy Bobritsky, CEO di Minerva Labs.
Il fallimento successivo alla patch ha portato alla fuga di password di 900 server aziendali VPN apparsi per primi su SC Media .