Piratas apuntan a las VPN SSL seguras de Fortigate y Pulse vulnerables

Los atacantes pueden adquirir credenciales que les permitirían obtener acceso a redes empresariales sensibles
Los atacantes aprovechan detalles de vulnerabilidad recientemente publicados y el código de explotación PoC (prueba de concepto) para extraer claves privadas y contraseñas de usuario de instalaciones vulnerables de Pulse Connect Secure SSL VPN y Fortigate SSL VPN.
Sobre las vulnerabilidades
Los atacantes han estado buscando y atacando dos vulnerabilidades:
• CVE-2019-11510, una vulnerabilidad de lectura de archivos arbitraria en Pulse Connect Secure.
• CVE-2018-13379, una falla de recorrido en el portal web FortiOS SSL VPN.
Ambas vulnerabilidades pueden explotarse de forma remota enviando una solicitud HTTPS especialmente diseñada, no requieren autenticación y permiten a los atacantes descargar archivos/extraer información confidencial de los servidores vulnerables.
Existen soluciones para ambas: Pulse Secure las lanzó en abril y Fortinet en mayo, meses antes de que los investigadores de Devcore, Meh Chang y Orange Tsai compartieran su descubrimiento con el público en Black Hat USA 2019.
Los investigadores también publicaron a principios de este mes detalles técnicos y código de explotación de la PoC para la falla de Fortigate y planean hacer pronto lo mismo para Pulse Secure.
Desde entonces, se han publicado en GitHub exploits adicionales para ambas (1, 2).
Escaneo activo e intentos de explotación
Los atacantes no tardaron mucho en intentar aprovechar el material y los exploits publicados.
La firma de inteligencia de amenazas cibernéticas Bad Packets advirtió el viernes sobre la actividad de escaneo masivo dirigida a puntos finales vulnerables de Pulse Connect Secure. A medida que el escaneo continúa y aumenta, han señalado que todavía hay cerca de 15.000 puntos finales VPN Secure Pulse vulnerables a CVE-2019-11510.
"Se encontró que 2.535 sistemas autónomos únicos (proveedores de red) tenían en su red puntos finales vulnerables de Pulse Secure VPN. Descubrimos que esta vulnerabilidad afecta actualmente a agencias gubernamentales militares, federales, estatales y locales de EE. UU., universidades y escuelas públicas, hospitales y proveedores de servicios de salud, empresas de servicios eléctricos, las principales instituciones financieras y numerosas compañías Fortune 500", compartieron.
El investigador Kevin Beaumont también marcó ataques contra servidores Fortigate:
Fortigate Fortinet SSL VPN is being exploited in the wild since last night at scale using 1996 style ../../ exploit - if you use this as a security boundary, you want to patch ASAP https://t.co/IaBSqZJ9iS
— Kevin Beaumont (@GossiTheDog) 22 de agosto de 2019
¿Qué hacer?
Obviamente, no hay tiempo que perder: se recomienda a los administradores que actualicen lo antes posible las instalaciones vulnerables de Pulse Connect Secure SSL VPN y Fortigate SSL VPN.
Al explotar estas vulnerabilidades, los atacantes pueden adquirir credenciales que les permitirían obtener acceso a redes empresariales sensibles.