FBI diz que invasores estaduais estão envolvidos em redes de entidades notáveis dos EUA hackeadas

O FBI disse em um alerta recente do Flash Security que as redes de um governo municipal e de uma entidade financeira dos EUA foram violadas devido à vulnerabilidade CVE-2019-11510 que afeta os servidores Pulse Secure VPN.

A Agência de Segurança em Segurança e Infra-estrutura e Segurança dos EUA (CISA) ou a CISA alertaram anteriormente as organizações sobre essa vulnerabilidade e ataques contínuos para explorar a falha e recomendaram a correção de seus servidores Pulse Secure VPN em 10 de janeiro.

Os bugs permitem que os atacantes enviem URLs criadas especificamente para conectar dispositivos vulneráveis, obter acesso não autorizado e ler os arquivos confidenciais que contêm as credenciais dos usuários remotamente. Eles podem usar para controlar o sistema infectado posteriormente.

Em um sistema sem patches “, permite que pessoas sem nomes de usuário e senhas válidas se conectem remotamente à rede corporativa que o dispositivo deve proteger, desative controles de autenticação multifatorial, exiba remotamente logs e senhas em cache em texto sem formatação (incluindo o Active Directory senhas da conta) “, explicou o pesquisador de segurança Kevin Beaumont.

Entidades dos EUA violaram os ataques da Pulse Secure VPN

O FBI diz que invasores desconhecidos usam a vulnerabilidade CVE-2019-11510 para explorar entidades americanas desde agosto de 2019. Em agosto, os invasores obtiveram acesso à rede de uma entidade financeira dos EUA e também violaram uma rede do governo municipal dos EUA usando a vulnerabilidade declarada. De acordo com o FBI, alguns atores do estado-nação estavam envolvidos nesses dois ataques. No entanto, isso não está claro se forem incidentes isolados.

 Governo dos EUA conseguiu a rede hackear

Com o ataque da rede do governo municipal dos EUA, em meados de agosto de 2019, os atacantes foram capazes de enumerar e alegrar as contas dos usuários, informações de configuração do host e identificadores de sessão que poderiam permitir o acesso à rede interna. Existe a possibilidade de que, após interromper a rede, os atacantes tenham atacado o Active Directory e colhendo as credenciais dos usuários, como nomes de usuário e senhas para o cliente VPN. Após tentar enumerar as credenciais dos usuários e obter acesso aos outros segmentos de rede, eles só conseguiram explorar esses segmentos na rede usando apenas a autenticação de fator único.

“O (s) invasor (es) tentou acessar várias contas de correio da web do Outlook, mas não obteve êxito devido ao fato de as contas estarem em domínios separados

exigindo credenciais diferentes não obtidas pelo (s) intruso (s).

Embora o (s) invasor (es) executem (s) enumeração adicional, não havia evidências de que algum dado foi comprometido ou exfiltrado, e o (s) invasor (es) aparentemente não instalaram nenhum recurso de persistência ou posição na rede “.

 Possivelmente conexão com o Irã

Uma notificação privada da indústria que lida com táticas e técnicas cibernéticas iranianas disse: “as informações que indicam ciberataques iranianos tentaram explorar as Vulnerabilidades e Exposições Comuns (CVEs) 2019-11510 [..]”

“O FBI avalia que essa segmentação, que ocorre desde o final de 2019, tem amplo escopo e afetou vários setores nos Estados Unidos e em outros países.

O FBI observou os atores usando as informações adquiridas ao explorar essas vulnerabilidades para acessar redes direcionadas e estabelecer outros pontos de apoio mesmo depois que a vítima corrigiu a vulnerabilidade. “

Medidas de mitigação

O FBI aconselha os Municípios a revisar este aviso de segurança cibernética da Agência de Segurança Nacional (NSA) sobre como mitigar as vulnerabilidades da VPN. Eles também recomendam tomar as seguintes medidas:

• Esteja alerta e instale imediatamente as correções lançadas pelos fornecedores, especialmente para dispositivos voltados para a Web;
• Bloquear ou monitorar os endereços IP maliciosos acima, bem como outros endereços IP que conduzem logins remotos em horários estranhos;
• Redefina as credenciais antes de reconectar os dispositivos atualizados a uma rede externa;
• Revogar e criar novas chaves e certificados de servidor VPN;
• Use a autenticação multifator como uma medida de segurança além das senhas, o que permite diferenciar um usuário de um invasor;
• Revise suas contas para garantir que os adversários não criem novas contas;
• Implementar segmentação de rede, quando apropriado;
• Verifique se as interfaces administrativas da Web não estão acessíveis na Internet

Os servidores Pulse Secure VPN sem patch ainda estão direcionados

NSA, em outubro de 2019, “O código de exploração está disponível gratuitamente on-line através da estrutura Metasploit, bem como o GitHub. Atores cibernéticos maliciosos estão usando ativamente esse código de exploração”.

A empresa de segurança Bad Packets, em 25 de agosto de 2019, descobriu 14.528 servidores Pulse Secure sem patches, que hoje renderam 3.328, sendo os EUA o primeiro neste ranking com 1000 servidores VPN sem patches.

Scott Gordon (CISSP), diretor de marketing da Pulse Secure, disse que os invasores estão explorando ativamente “servidores VPN sem patch para propagar malware, REvil (Sodinokibi), distribuindo e ativando o Ransomware por meio de avisos interativos da interface da VPN para os usuários que tentam acessar recursos por meio de servidores Pulse VPN vulneráveis e sem patches “.