В четвъртък, 22 август 2019 г. е открита масова сканираща активност от хост в Испания, насочена към Pulse Secure „Pulse Connect Secure“ VPN сървърни точки, уязвими към CVE-2019-11510. Тази произволна уязвимост при четене на файлове позволява разкриване на чувствителна информация, което позволява на неавтентицирани нападатели да имат достъп до частни ключове и потребителски пароли. По-нататъшната експлоатация с помощта на изтеклите идентификационни данни може да доведе до отдалечено инжектиране на команда (CVE-2019-11539) и да позволи на нападателите да получат достъп вътре в частната VPN мрежа.
И в двата случая експлоатационната дейност се опитва да изтегли файла „etc / passwd“, който съдържа потребителските имена, свързани с VPN сървъра (не с клиентските акаунти). Успешният отговор „HTTP 200 / OK“ на това сканиране показва, че крайната точка на VPN е уязвима за по-нататъшни атаки. Предвид текущата дейност по сканиране, вероятно е нападателите да са изброили всички обществено достъпни хостове, уязвими за CVE-2019-11510.
Колко хостове са уязвими към CVE-2019-11510?
Използвайки данни, предоставени от BinaryEdge, са сканирани 41,850 Pulse Secure VPN крайни точки, за да установи кои са уязвимите. Сканиранията откриват общо 14 528 Pulse Secure VPN крайни точки, уязвими към CVE-2019-11510. Никаква чувствителна информация не е разкрита или записана по време на сканиранията, тъй като просто е изпратено искане за HTTP HEAD HEAD (за разлика от GET заявка, която изтегля файл), за да се потвърди възможността за произволна уязвимост на четене на файл.
Къде са разположени различните уязвими хостове?
Уязвими хостове са открити в 121 страни по света.
Тази интерактивна карта показва общите уязвими хостове за всяка държава. Като цяло най-уязвимите Pulse Secure VPN крайни точки са разположени в Съединените щати.
Кои организации са засегнати от CVE-2019-11510?
Установено е, че 2535 уникални автономни системи (мрежови доставчици) имат уязвими Pulse Secure VPN крайни точки в своята мрежа. Открихме, че тази уязвимост в момента засяга:
• американски военни, федерални, държавни и местни държавни агенции
• университети и училища
• болници и здравни работници
• електрически и газови комунални услуги
• основни финансови институции
• новини / медийни корпорации
• многобройни Fortune 500 компании
Списъкът на засегнатите организации няма да бъде публикуван, тъй като тази критична уязвимост е лесна за използване, като се използва публично достъпен код за доказателство на концепцията.
Pulse Secure VPN администраторите трябва незабавно да се уверят, че не използват версии на сървърния софтуер „Pulse Connect Secure“, уязвим към CVE-2019-11510. Pulse Secure предостави насоки как да се актуализира до фиксирани версии. Няма решение за тази уязвимост. Като се има предвид тежестта на тази уязвимост за разкриване на чувствителна информация, съчетана с риска от неправомерен достъп до частни мрежи – има малко време за актуализиране, преди участниците в заплахата да предприемат по-нататъшна злонамерена дейност.
Поради чувствителния характер на тези уязвимости, IP адресите на засегнатите Pulse Secure VPN крайни точки няма да бъдат публикувани публично. Списъкът обаче е свободно достъпен за проверка на упълномощените правителствени CERT екипи и CSIRT. Откритията са споделени директно с US-CERT (CISA) и други федерални правоохранителни агенции на САЩ за по-нататъшно разследване и отстраняване.
Информирани са следните CERT екипи: aeCERT, CCCS, CERT-Bund, CERT-FR, CERTGOVIL, CERT-In, CITC-SA, GovCERT.ch, GovCERT.gv.at, H-ISAC, IL-CERT, JPCERT/CC, KN-CERT, NCSC, NCSC-IE, NCSC-NL, REN-ISAC, SingCERT, ThaiCERT, TWCERT/CC, and TWNCERT.
За повече информация: