Un hacker divulgue les identifiants de plus de 900 VPN d’entreprise

Spread the love
  • Yum

Un hacker divulgue les identifiants de plus de 900 VPN d'entreprise

Un hacker a publié aujourd’hui une liste de noms d’utilisateurs et de mots de passe en clair, ainsi que les adresses IP de plus de 900 serveurs d’entreprise VPN Pulse Secure.

ZDNet, qui a obtenu une copie de cette liste avec l’aide de la société de treat intelligence KELA, a vérifié son authenticité auprès de multiples sources dans la communauté de la cybersécurité.

publicité

Selon un examen, la liste comprend :

  • Des adresses IP des serveurs VPN Pulse Secure
  • Le n° de version des serveurs VPN Pulse Secure
  • Des clés SSH pour chaque serveur
  • Une liste de tous les utilisateurs locaux et les hashs de leurs mots de passe
  • Les détails du compte administrateur
  • La liste des dernières connexions au VPN (y compris les noms d’utilisateur et les mots de passe en clair)
  • Cookies de session VPN

    vpn-details.png

    Image : ZDNet

    Bank Security, un analyste spécialisé dans la criminalité financière et celui qui a repéré la liste plus tôt dans la journée et l’a partagée avec ZDNet, a fait une observation intéressante sur la liste et son contenu. Il remarque que tous les serveurs VPN Pulse Secure inclus dans la liste exécutaient une version de firmware vulnérable à la vulnérabilité CVE-2019-11510.

Bank Security pense que le pirate qui a compilé cette liste a scanné l’ensemble de l’espace d’adressage IPv4 d’Internet pour trouver les serveurs VPN Pulse Secure. Il a ensuite utilisé un exploit pour la vulnérabilité CVE-2019-11510 afin d’accéder aux systèmes, récuperer les détails des serveurs (y compris les noms d’utilisateur et les mots de passe), puis a rassemblé toutes ces informations dans un fichier central.

D’après les horodatages de la liste (une collection de dossiers), la date des scans, ou la date de compilation de la liste, pourrait se situer entre le 24 juin et le 8 juillet 2020.

vpn-folder.png

Image : ZDNet

ZDNet a également contacté Bad Packets, une société américaine de threat intelligence qui détecte sur Internet des serveurs VPN Pulse Secure vulnérables depuis août 2019, date à laquelle la vulnérabilité CVE-2019-11510 a été rendue publique.

“Sur les 913 adresses IP uniques trouvées dans cette décharge, 677 ont été détectées par les scanners CTI de Bad Packets comme étant vulnérables au CVE-2019-11510 lorsque l’exploit a été rendu public l’année dernière”, a déclaré aujourd’hui à ZDNet le co-fondateur et directeur de recherche de Bad Packets.

Il ressort de la liste que les 677 entreprises n’ont pas reçu de patch depuis le premier scan de Bad Packets, mené l’année dernière et les scans de juin 2020 effectués par le hacker.

Même si ces entreprises patchent leurs serveurs Pulse Secure, elles devront également changer les mots de passe pour éviter que les pirates informatiques n’abusent des identifiants divulgués pour prendre le conrôle des appareils et se deployer ensuite sur leurs réseaux internes.

La nouvelle est importante : les serveurs VPN Pulse Secure sont généralement utilisés comme des passerelles d’accès aux réseaux d’entreprise, afin que le personnel puisse se connecter à distance aux applications internes depuis Internet. Ce type de dispositifs, si compromis, peut permettre aux pirates d’accéder facilement à l’ensemble du réseau interne d’une entreprise. C’est pour cela que les groupes APT et les groupes de ransomware ont ciblé ces systèmes dans le passé.

Une liste partagée sur des forums cybercriminels

Pire encore, la liste a été partagée sur un forum de hackers fréquenté par de multiples groupes de ransomware. Par exemple, les groupes REvil (Sodinokibi), NetWalker, Lockbit, Avaddonm, Makop et Exorcist ont publiés des fils de discussion sur ce même forum et l’utilisent pour recruter des membres (développeurs) et des affiliés (clients).

Beaucoup de ces groupes s’introduisent dans les réseaux d’entreprise en utilisant des dispositifs en périphérie du réseau comme les serveurs VPN Pulse Secure, puis déploient leur ransomware et exigent d’énormes demandes de rançon.

La publication de cette liste en téléchargement gratuit est un danger pour toute entreprise qui n’a pas réussi à patcher son VPN Pulse Secure au cours de l’année écoulée. Il est très probable que certains des groupes de ransomware actifs sur ce forum utiliseront la liste pour de futures attaques.

Comme l’a dit Bank Security à ZDNet, les entreprises doivent patcher leurs VPN Pulse Secure et changer les mots de passe de toute urgence.

**La liste a été initialement presentée comme une liste de 1800 serveurs vulnérables, mais nos vérifications n’en ont trouvé que 900, nous avons donc choisi un titre d’article approprié, malgré la première image de l’article.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *