Piratas apuntan a las VPN SSL seguras de Fortigate y Pulse vulnerables

Los atacantes pueden adquirir credenciales que les permitirían obtener acceso a redes empresariales sensibles

Los atacantes aprovechan detalles de vulnerabilidad recientemente publicados y el código de explotación PoC (prueba de concepto) para extraer claves privadas y contraseñas de usuario de instalaciones vulnerables de Pulse Connect Secure SSL VPN y Fortigate SSL VPN.

Sobre las vulnerabilidades

Los atacantes han estado buscando y atacando dos vulnerabilidades:

• CVE-2019-11510, una vulnerabilidad de lectura de archivos arbitraria en Pulse Connect Secure.
• CVE-2018-13379, una falla de recorrido en el portal web FortiOS SSL VPN.

Ambas vulnerabilidades pueden explotarse de forma remota enviando una solicitud HTTPS especialmente diseñada, no requieren autenticación y permiten a los atacantes descargar archivos/extraer información confidencial de los servidores vulnerables.

Existen soluciones para ambas: Pulse Secure las lanzó en abril y Fortinet en mayo, meses antes de que los investigadores de Devcore, Meh Chang y Orange Tsai compartieran su descubrimiento con el público en Black Hat USA 2019.

Los investigadores también publicaron a principios de este mes detalles técnicos y código de explotación de la PoC para la falla de Fortigate y planean hacer pronto lo mismo para Pulse Secure.

Desde entonces, se han publicado en GitHub exploits adicionales para ambas (1,  2).

Escaneo activo e intentos de explotación

Los atacantes no tardaron mucho en intentar aprovechar el material y los exploits publicados.

La firma de inteligencia de amenazas cibernéticas Bad Packets advirtió el viernes sobre la actividad de escaneo masivo dirigida a puntos finales vulnerables de Pulse Connect Secure. A medida que el escaneo continúa y aumenta, han señalado que todavía hay cerca de 15.000 puntos finales VPN Secure Pulse vulnerables a CVE-2019-11510.

"Se encontró que 2.535 sistemas autónomos únicos (proveedores de red) tenían en su red puntos finales vulnerables de Pulse Secure VPN. Descubrimos que esta vulnerabilidad afecta actualmente a agencias gubernamentales militares, federales, estatales y locales de EE. UU., universidades y escuelas públicas, hospitales y proveedores de servicios de salud, empresas de servicios eléctricos, las principales instituciones financieras y numerosas compañías Fortune 500", compartieron.

El investigador Kevin Beaumont también marcó ataques contra servidores Fortigate:

Fortigate Fortinet SSL VPN is being exploited in the wild since last night at scale using 1996 style ../../ exploit - if you use this as a security boundary, you want to patch ASAP https://t.co/IaBSqZJ9iS

— Kevin Beaumont (@GossiTheDog) 22 de agosto de 2019

¿Qué hacer?

Obviamente, no hay tiempo que perder: se recomienda a los administradores que actualicen lo antes posible las instalaciones vulnerables de Pulse Connect Secure SSL VPN y Fortigate SSL VPN.

Al explotar estas vulnerabilidades, los atacantes pueden adquirir credenciales que les permitirían obtener acceso a redes empresariales sensibles.