Servidores Webmin e VPNs Pulse Secure e Fortinet estão expostos e sendo atacados

Grupos de hackers iniciaram uma exploração de vulnerabilidades, que veio a público no início deste mês, aproveitando o código demo de exploração para lançar ataques reais, os quais começaram na última semana, direcionados ao serviço Webmin e também à VPNs empresariais, como a Pulse Secure e Fortinet FortiGate.

Todos esses ataques visam dispositivos em redes corporativas e permitem que os invasores assumam total controle dos sistemas atacados. Assim, corrigir essas vulnerabilidades é prioridade zero para todas as empresas que utilizam quaisquer um destes serviços.

O ocorrido é de fato assustador. Podemos considerar os ataques desta semana como dos piores deste ano devido à natureza sensível dos sistemas que eles visam.

Vamos, portanto, entender um pouco melhor sobre cada um desses ataques e como mitigar e corrigir as vulnerabilidades de cada um dos ataques.

Ataques Webmin

Vamos iniciar explicando o primeiro desses ataques. Um dia após a divulgação de um Backdoor no Webmin (Ferramenta de gerenciamento de sistemas Linux remotos), os ataques à ferramenta começaram. Após a ação de outros agentes, que comprometeram um servidor de um desenvolvedor da ferramenta, o backdoor em questão conseguiu acesso ao código-fonte do Webmin. Antes de ser descoberto, o acesso permaneceu oculto por mais de um ano.

Com uma apresentação que detalhava essa vulnerabilidade feita na DEFCOM, uma conferência de segurança, por um pesquisador da área, as verificações da brecha começaram a ser feitas. Contudo, uma vez constatada e confirmada sua gravidade pelo time as Webmin, as verificações imediatamente se transformaram em tentativas de exploração ativa.

A orientação é que os administradores do webmin atualizem a ferramenta para a v1.930, lançada no último domingo, para proteger os sistemas contra o CVE-2019-15107 (vulnerabilidade do RCE/backdoor). Um código público de exploração para esse problema foi divulgado, o que torna esses ataques fáceis de automatizar, mesmo por atacantes pouco qualificados.

De acordo com o time da Webmin, existem mais de um milhão de instalações ativas do Webmin na Internet e todas as versões entre 1.882 e 1921 baixadas do Sourceforge são vulneráveis, sendo que na v1.890, o backdoor estava ativo por padrão. Existem 29000 servidores conectados a internet que estão executando essa versão, o que representa uma grande abertura para ataques (Fonte: BinaryEdge), e esses alvos também podem permitir que os atacantes acessem todos os servidores Linux, FreeBSD e OpenBSD que estão sendo gerenciados por essas instalações do Webmin, o que admite que os atacantes iniciem ataques em milhões de outros endpoints e servidores.

Ataques às VPNs Pulse Secure e Fortinet Fortigate

Na sexta-feira os atacantes iniciaram a exploração de outro conjunto de vulnerabilidades, dessa vez divulgadas durante a palestra “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs” (Infiltrando-se na intranet corporativa como a NSA: pré-autenticação do RCE em VPNs SSL líderes de mercado) na conferência Black Hat, em que foram detalhadas diversos problemas de segurança em várias VPNs Corporativas. Entretanto, os ataques se concentraram nos produtos da Pulse Secure e Fortinet Fortigate.

Tudo indica que os invasores utilizaram como ponto de partida para os ataques os detalhes técnicos e o código de prova de conceito incluído em uma postagem no blog de Devcore, empresa onde os dois apresentadores do Black Hat trabalhavam.

Apesar da publicação incluir diversos tipos de brechas, os invasores escolheram apenas duas delas para atacar: a CVE-2019-11510 (que afeta o Pulse Secure) e CVE-2018-13379 (que afeta o FortiGate). Ambas são vulnerabilidades que podem permitir que hackers recuperem arquivos de um sistema de destino sem precisar se autenticar.

Segundo a Bad Packets, existem quase 42000 sistemas de VPN Pulse Secure disponíveis online, e mais de 30% deles (14500) ainda não foram corrigidos, sendo que os patches de atualização foram lançados em abril.

Os números do Fortigate são imprecisos, mas acredita-se que estejam nas centenas de milhares, e seus patches foram lançados em maio. De toda forma, a indicação é que os dispositivos sejam atualizados com os novos patches o mais rápido possível.

Para termos uma pequena dimensão do tamanho do problema, a Bad Packets comunicou que identificaram VPNs Pulse Secure nas redes de:

  • Agências militares, federais, estaduais e locais dos EUA
  • Universidades e escolas públicas
  • Hospitais e prestadores de cuidados de saúde
  • Principais instituições financeiras
  • Inúmeras empresas da Fortune 500

A Pulse Secure tentou destacar esse problema para seus clientes, atribuindo ao problema de segurança uma classificação de 10 em 10, contudo, quatro meses depois, muitos clientes ainda não corrigiram e continuam correndo sérios riscos.

Corra, pois, sua empresa pode estar em perigo

Não bastasse que as vulnerabilidades viessem a público, o código de prova de conceito armado está agora disponível gratuitamente em vários locais on-line, para ambos os problemas, incluindo o GitHub.

Para as empresas utilizam qualquer dessas soluções, a orientação dos fabricantes é atualizar os patches.

E, se sua empresa visa segurança de dados, além de manter um ambiente seguro é uma prioridade, entre em contato conosco e saiba como podemos te ajudar a não somente se proteger de ameaças cibernéticas, mas também estar em conformidade com as novas legislações.

 

Fonte: Texto traduzido de ZDnet

 

 

[wp-review id=”15907″]

Participe da comunidade
de tecnologia da Tripla

Localização
Rua dos Timbiras, 1532 - 4º andar Lourdes, Belo Horizonte, Minas Gerais
Telefone
+55 31 3370.2600
Contato
Proteção de Dados Pessoais
Copyright © 2020 Tripla

Fale com um de nossos consultores