Identifiants VPN de 900 sociétés publiés
12/08/2020Récemment, un listing d’identifiants et d’autres informations personnelles sensibles par rapport aux VPNs Pulse Secure d’environ 900 sociétés a été propulsée dans la nature par un groupement de hackers. Pour les entreprises concernées, c’est une grande vulnérabilité qui nécessite de patcher son VPN et de remplacer ses identifiants très rapidement.
Un listing avec énormément de données personnelles
Un pirate russe aurait dévoilé un grand listing d’identifiants de serveurs VPN Pulse Secure par rapport à plus de 900 sociétés. Le fichier intègre notamment des informations sensibles comme par exemple les adresses IP des serveurs concernés, des cookies ou encore des clés SSH. Encore pire, le fichier possède aussi des renseignements concernant le compte administrateur (disposant d’un contrôle total sur la totalité du réseau), un listing de la totalité des utilisateurs locaux ou encore un registre des connexions, avec des données sensibles telles que par exemple les identifiants et les mots de passe (qui sont tous en clair).
Si on se fit à ce que dit Bank Security (expert pour ce qui est des affaires de criminalité dans les finances), le hacker (ou les hackers) aurait débuté par un scan de la totalité de l’espace d’adressage IPV4 d’Internet. De cette façon, il serait parvenu à dénicher les serveurs en question, avant de se servir d’un exploit (élément pour exploiter une faille) afin de finaliser sa moisson. Encore plus inquiétant que l’attaque en elle-même : la vulnérabilité exploitée par le ou les pirates serait déjà connue depuis 2019. Or, la majorité des sociétés (qui correspond à environ deux tiers des groupes) n’a pas patché cette faille conséquente dans leur système, d’après l’entreprise Bad Packets.
Une véritable aubaine pour les hackers
Même si ces différentes sociétés patchent leurs serveurs Pulse Secure, elles devront aussi remplacer les mots de passe afin que les hackers n’aient pas la possibilité de se servir des identifiants dévoilés afin de contrôler des équipements et autres appareils.
En règle générale, les serveurs VPN du groupe Pulse Secure sont utilisés en tant que passerelles d’accès aux réseaux d’entreprise, afin que les salariés puissent se connecter à distance aux applications internes via Internet. Ce genre de systèmes, s’il s’avère être attaqué, peut donner la possibilité aux pirates d’avoir aisément accès à la totalité du réseau interne d’une société. C’est dans ce but que les groupes APT et de ransomware ont visé ce type de dispositifs dans le passé.
Un accès grand ouvert sur les informations sensibles
Cette attaque se révèle être dévastatrice à cause du circuit de diffusion du listing. En effet, la liste aurait été dévoilée sur un forum. Ce dernier est notamment connu des ransomwares (logiciels prenant un système informatique en otage et réclamant une rançon). Ainsi, cela veut dire que des hackers vont sans aucun doute attaquer les sociétés présentes dans ce fichier. Pour les entreprises concernées, il y a par conséquent urgence à mettre à jour son VPN Pulse Secure, pour que la faille concernée soit patchée.
Si cela n’est pas fait, l’entreprise deviendra alors une cible facile car ce listing donne sur un plateau les identifiants aux hackers. Néanmoins, des VPNs d’entreprise comme ceux proposés par le groupe Pulse Secure sont la plupart du temps utilisés en tant que passerelle pour offrir la possibilité aux salariés d’avoir accès à leur intranet via le WAN … et par conséquent à des informations extrêmement sensibles.
Pulse Secure a en tout cas fait ce qu’il faut en contactant avec différents moyens (mail, téléphone ou encore notifications web) et de façon individuelle la totalité des clients, afin d’encourager ces derniers à procéder à l’installation du correctif. Il sera par conséquent intéressant de conserver un œil sur tout cela afin de voir si d’éventuels retardataires se feront attaquer par les hackers à cause de ce listing.
