Especialistas en ciberseguridad reportan que un hacker, o grupo de hackers, filtró una lista de nombres de usuario y contraseñas en texto sin formato, además de las direcciones IP de más de 900 servidores de la firma Pulse Secure, que provee servicios de red privada virtual (VPN).
Los investigadores de la plataforma ZDNet, con la ayuda de la firma de seguridad KELA, obtuvieron una copia de la información comprometida, verificando que los registros son reales y la lista se encuentra actualizada. Después de una revisión preliminar, los investigadores reportaron que la lista incluye:
- Direcciones IP de los servidores Pulse Secure
- Versión de firmware del servidor Pulse Secure
- Claves SSH para cada servidor
- Lista de los usuarios locales y sus contraseñas cifradas
- Detalles de la cuenta de administrador
- Últimos inicios de sesión de VPN (incluyendo nombres de usuario, contraseñas y contraseñas sin cifrar)
- Cookies de sesión de VPN
Al respecto, el analista de inteligencia de amenazas especializada en delitos financieros conocido Bank Security señaló que todos los servidores Pulse Secure VPN, incluyendo los que se vieron expuestos en el incidente, están expuestos a la explotación de la falla CVE-2019-11510.
El investigador cree que los responsables del ataque obtuvieron esta lista explotando dicha vulnerabilidad para obtener acceso a los sistemas, volcar los detalles del servidor y recopilando la información en un repositorio central. Las marcas de tiempo indican que el incidente habría ocurrido entre el 24 de junio y el 8 de julio.
La firma Bad Packets también ha estado analizando los servidores vulnerables a CVE-2019-11510, afirmando que de las 913 direcciones IP, al menos 670 fueron detectadas como vulnerables desde hace un año, momento en el que el exploit se hizo público. Estas implementaciones nunca fueron corregidas, por lo que los actores de amenazas explotaron la vulnerabilidad con seguridad.
Los expertos agregan que la sola instalación de parches de seguridad es insuficiente para corregir estas fallas, pues es necesario restablecer credenciales de inicio de sesión para mitigar por completo la posibilidad de ataques. Cabe recordar que el compromiso de dispositivos que operan con VPN podría permitir a los actores de amenazas acceder fácilmente a toda la red de una compañía, por lo que estas vulnerabilidades resultan atractivas para los grupos de hackers.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.