Un hacker publicó en un foro archivos de texto con los nombres de usuario y claves de acceso de más de 900 VPN empresariales Pulse Secure. Esto lo dio a conocer el portal ZDNet, luego de verificar la autenticidad de la lista con fuentes como la compañía de ciberinteligencia KELA.
En la información filtrada también está la versión vulnerable del firmware de las VPN, las llaves Secure Shell (abreviado como SSH) que permiten conectarse a los servidores, la lista de los usuarios locales y los hashes de sus contraseñas, detalles de la cuenta de administrador, los últimos accesos a las VPN, con nombres de usuario y contraseñas, así como las cookies de la sesión de la VPN.
El medio refirió que los analistas de amenazas inteligentes, Bank Security, detectaron que los servidores VPN Pulse Securte incluidos en la lista, corren una versión de firmware que tiene la vulnerabilidad CVE-2019-11510, que se hizo pública hace un año.
Se cree que el hacker usó un exploit de esta falla que da acceso a los sistemas, vacía detalles del servidor —lo que incluye nombres de usuario y contraseñas— y luego reúne toda la información en un repositorio central. Los especialistas de Bank Security recomendaron hacer la actualización de los servidores y el cambio de contraseñas de manera urgente.
Prevención, factor clave
Diferentes especialistas han dicho anteriormente que para prevenir ataques de todo tipo se requiere un manejo adecuado de la gestión de identidades. Más cuando se trata de vulneraciones que se han tenido por una falla en la actualización del firmware.
En noviembre pasado, Trend Micro dio a conocer que había descubierto una VPN operada por APT33, un grupo de hackers que apoyaba al Gobierno iraní. Luego de mantener bajo perfil por un periodo de años, APT33 empezó a lanzar ataques en 2019 contra infraestructuras críticas de compañías petroleras y de transporte aéreo, principalmente estadounidenses
Desgraciadamente, como se vio esta semana con las explosiones en el puerto de Beirut, cualquier tipo de descuido de infraestructura puede provocar tremendas vulneraciones, ya sea a nivel físico o a nivel de los sistemas. De ahí la importancia de mantener vigentes las actualizaciones a servidores para prevenir amenazas en materia de ciberseguridad.
En este caso, además de actualizar los parches de los servidores Pulse Secure, es necesario cambiar las contraseñas. Esto servirá para evitar mayores daños generados por la información filtrada y así prevenir ataques a redes internas.