Une liste contenant les noms d'utilisateur et les mots de passe en clair ainsi que les adresses IP de plus de 900 serveurs VPN appartenant à Pulse Secure VPN a été publiée en ligne et partagée sur un forum de hackers utilisé par les cybercriminels.
Tel que rapporté par ZDNet qui a brisé l'histoire, l'authenticité de la liste a été vérifiée par plusieurs sources de la communauté de la cybersécurité et comprend les adresses IP des serveurs VPN Pulse Secure, les versions du micrologiciel du serveur Pulse Secure VPN, les clés SSH pour les 900 serveurs, les noms d'utilisateur et mots de passe en texte clair, les détails du compte administrateur , Cookies de session VPN et plus encore.
La société de renseignement sur les menaces, Bank Security, a d'abord découvert la liste en ligne, puis l'a partagée avec le média. L'un des chercheurs en sécurité de la société a noté que tous les serveurs VPN inclus dans la liste exécutaient une version de micrologiciel plus ancienne qui est vulnérable à une vulnérabilité de contournement d'authentification suivie comme CVE-2019-11510.
Les chercheurs de Bank Security pensent que le pirate informatique a scanné toutes les adresses IPv4 sur Internet à la recherche de serveurs VPN Pulse Secure, puis a exploité la vulnérabilité pour accéder aux systèmes de l'entreprise et aux détails du serveur. Ces informations ont ensuite été collectées dans un référentiel central et sur la base des horodatages de la liste, les noms d'utilisateur, mots de passe et détails du serveur semblent avoir été collectés entre le 24 juin et le 8 juillet.
Sommaire
Dump de données VPN Pulse Secure
La société de renseignement sur les menaces Bad Packets analyse le Web à la recherche de serveurs VPN Pulse Secure vulnérables depuis août de l'année dernière, lorsque la vulnérabilité CVE-2019-11510 a été rendue publique. ZDNet a contacté l'entreprise au sujet de la liste et son cofondateur et directeur de la recherche, Troy Mursch, a fourni un aperçu supplémentaire de la question, en disant:
"Sur les 913 adresses IP uniques trouvées dans ce vidage, 677 ont été détectées par les analyses CTI Bad Packets comme étant vulnérables à CVE-2019-11510 lorsque l'exploit a été rendu public l'année dernière."
Sur la base de la liste, il semble que 677 entreprises n'aient pas réussi à corriger leur logiciel VPN depuis que la vulnérabilité a été rendue publique. Cependant, les correctifs ne seront plus suffisants car les organisations vulnérables devront également changer leurs noms d'utilisateur et mots de passe pour éviter d'être victimes d'attaques potentielles.
Les entreprises qui utilisent Pulse Secure VPN devraient patcher leurs systèmes et mettre à jour leurs informations d'identification immédiatement, car la liste a également été partagée sur un forum de hackers fréquenté par plusieurs opérateurs de ransomware, y compris les cybercriminels derrière Sodinokibi et Lockbit. Cela signifie que les informations de connexion de nombreux clients de Pulse Secure VPN ne sont pas seulement disponibles en ligne, mais sont très probablement déjà entre les mains de cybercriminels qui utiliseront ces données divulguées à leur avantage.
- Consultez également notre liste complète des meilleurs services VPN
Via ZDNet
