Güvenlik

Hackerlar 900’den fazla kullanıcının VPN sunucu şifrelerini çaldı

Hackerlar bugün 900’den fazla Pulse Secure VPN kurumsal sunucusu için IP adreslerinin yanı sıra kullanıcı adları ve şifrelerinin bir listesini yayınladı.

Tehdit istihbaratı şirketi KELA’nın yardımıyla bu listenin bir kopyasını alan ZDNet, siber güvenlik topluluğundaki çoklu kaynaklarla gerçekliğini doğruladı.

Bir incelemeye göre, liste şunları içeriyor:

Pulse Secure VPN sunucularının IP adresleri Darbeli Güvenli VPN sunucusu ürün yazılımı sürümü Her sunucu için SSH anahtarları Tüm yerel kullanıcıların listesi ve şifre karmaları Yönetici hesabı ayrıntıları Son VPN girişleri (kullanıcı adları ve açık metin şifreleri dahil) VPN oturum çerezlerini paylaştılar.

vpn-details.png

Finansal suç konusunda uzmanlaşmış bir tehdit istihbaratı analisti olan Bank Security, bugün listenin başında yer alan ve listeyi ZDNet ile paylaşan Bank Security, liste ve içeriği hakkında ilginç bir gözlem yaptı.

Güvenlik araştırmacısı, listede bulunan tüm Pulse Secure VPN sunucularının CVE-2019-11510 güvenlik açığından etkilenen bir üretici yazılımı sürümü çalıştırdığını belirtti.

Bank Security, bu listeyi derleyen hacker’ın Pulse Secure VPN sunucuları için tüm İnternet IPv4 adres alanını taradığına, sistemlere erişim sağlamak, sunucu ayrıntılarını (kullanıcı adları ve şifreler dahil) CVE-2019-11510 güvenlik açığından yararlanma, ve sonra tüm bilgileri tek bir merkezi depoda topladı.

Listedeki zaman damgalarına (bir klasör koleksiyonu) dayanarak, taramaların tarihleri veya listenin derlendiği tarih 24 Haziran ile 8 Temmuz 2020 arasında olduğu görünüyor.

vpn-folder.png

ZDNet ayrıca, CVE-2019-11510 güvenlik açığının herkese açık hale getirildiği Ağustos 2019’dan beri interneti savunmasız Pulse Secure VPN sunucuları için tarayan ABD merkezli bir tehdit istihbarat şirketi olan Bad Packets’e ulaştı.

Bad Packets kurucu ortağı ve baş araştırma görevlisi, “Bu dökümünde bulunan 913 benzersiz IP adresinden 677, Bad Packets CTI taramaları tarafından geçen yıl kamuya açıklandığında CVE-2019-11510’a karşı savunmasız olduğu tespit edildi.”

İlgili Yazı :  CloudFlare Firewall ile WordPress Güvenlik Ayarları Nasıl Yapılmalı ?

Listeden, 677 şirketin Bad Packets’in geçen yılki ilk taramasından ve hacker tarafından Haziran 2020 taramalarından bu yana yama yapmadığı anlaşılıyor.

Bu şirketler Pulse Secure sunucularını yamalasa bile, bilgisayar korsanlarının aygıtları devralmak ve daha sonra dahili ağlarına yayılmak için sızan kimlik bilgilerini kötüye kullanmasını önlemek için şifreleri değiştirmeleri gerekiyor.

Burası çok önemlidir, çünkü Pulse Secure VPN sunucuları genellikle şirket ağlarına erişim ağ geçitleri olarak kullanılır, böylece personel İnternet üzerinden dahili uygulamalara uzaktan bağlanabilir. Bu tür cihazlar, ele geçirilirse, bilgisayar korsanlarının bir şirketin tüm dahili ağına kolay erişmesine izin verebilir – bu nedenle APT’lerin ve fidye yazılımı çetelerinin geçmişte bu sistemleri hedeflemesinin nedeni.
Ransomware gangs tarafından desteklenen forumda paylaşılanların listesi

Daha da kötüsü, liste birden fazla fidye yazılımı çetesinin uğrak yeri olan bir hacker forumunda paylaşıldı. Örneğin, REvil (Sodinokibi), NetWalker, Lockbit, Avaddon, Makop ve Exorcist fidye yazılımı çetelerinin aynı forumda iş parçacıkları vardır ve üyeleri (geliştiriciler) ve bağlı kuruluşları (müşteriler) işe almak için kullanırlar.

Bu çetelerin çoğu, Pulse Secure VPN sunucuları gibi ağ kenarı cihazlarından yararlanarak kurumsal ağlara izinsiz girişler gerçekleştirir ve daha sonra fidye yazılımı yüklerini dağıtır ve büyük fidye talepleri talep eder.

Bu listenin ücretsiz indirme olarak yayınlanması, bu forumda aktif olan fidye yazılımı çetelerinin bazılarının listeyi kullanması muhtemel olduğundan, Pulse Secure VPN’i geçen yıl boyunca yama yapmayan herhangi bir şirket için gerçek bir DEFCON 1 tehlike seviyesidir. gelecekteki saldırılar için.

Bank Security’nin ZDNet’e söylediği gibi, şirketler Pulse Secure VPN’lerini düzeltmek ve şifreleri en acil şekilde değiştirmek zorundadır.

*** Pulse Secure VPN dökümü, 1.800 savunmasız sunucu listesi olarak ilan edildi, ancak kontrollerimiz sadece 900 bulundu, bu nedenle bu makaledeki ilk resme rağmen uygun bir makale başlığı kullandık.

vote
Article Rating
Kaynak
https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/
Etiketler

agah

Herkesin tek hakkı var.

İlgili Makaleler

Abone ol
Bildir
guest
0 Yorum
Inline Feedbacks
View all comments
Başa dön tuşu
0
Would love your thoughts, please comment.x
()
x
Kapalı
Kapalı