Hakeri napali Webmin servere, Pulse Secure i Fortinet VPN

Na nedavno održanim DEF CON i Black Hat konferencijama posvećenim sajber bezbednosti otkrivene su ranjivosti u popularnim proizvodima, objašnjeni su tehnički detalji i prikazan je demo koda za eksploataciju, a sve to su napadači iskoristili da započnu seriju globalnih napada.

Na meti napadača našli su se Webmin, alat za Linux i 'NIX sisteme, kao i VPN proizvodi namenjeni kompanijama - Pulse Secure i Fortinetov FortiGate. Sva 3 tipa napada podjednako su opasna zato što napadaju uređaje u mrežama kompanija i omogućavaju napadačima preuzimanje potpune kontrole nad kompromitovanim sistemom. Ovo su potencijalno najozbiljniji sajber napadi ove godine zbog osetljivosti sistema koji su meta napada.

Webmin napadi

Napadi su započeli samo jedan dan nakon što je javnosti otkriveno da postoji backdoor u Webmin alatu koji se koristi za remote upravljanje Linux i 'NIX sistemima. Backdoor je dospeo u izvorni kod Webmin alata kada su drugi napadači kompromitovali server Webmin programera, a tu je ostao sakriven više od godinu dana. Napadači su počeli da skeniraju ovu ranjivost nakon što je istraživač na konferenciji pružio detaljnu analizu za ranjivost (backdoor). Nakon što je Webmin tim potvrdio da se radi o izuzetno ozbiljnom propustu, skeniranja servera su se pretvorila u aktivne pokušaje eksploatacije.

Firma Bad Packets navodi da trenutno više napadača eksploatiše Webmin ranjivost, a jedan od njih pod kontrolom ima IoT botnet Cloubot. Webmin adminima se preporučuje da ažuriraju na v1.930 kako bi se zaštitili od CVE-2019-15107 RCE ranjivosti, odnosno backdoora. S obzirom na to da je kod za eksploataciju ove ranjivosti javno dostupan, čak i napadači sa skromnijim veštinama mogu da izvrše napade.

Trenutno na internetu postoji više od milion Webmin instalacija, a ranjive su sve verzije od 1.882 do 1.921 preuzete sa Sourceforge, kao i verzija 1.890 u kojoj je backdoor aktivan po defaultu. Postoji oko 29.000 Webmin servera sa v1.890 što predstavlja ogromu površinu za napad. Kompromitovanjem ovih meta, napadači mogu da pristupe svim Linux, FreeBSD i OpenBSD serverima kojima se upravlja preko Webmin alata, što dalje znači da mogu da izvrše napade na milione drugih krajnjih tačaka i servera.

Napadi na Pulse Secure i Fortinet FortiGate VPN klijente

Par dana nakon eksploatacije Webmin alata, napadači su počeli da eksploatiše bezbednosne propuste u dva VPN proizvoda - Pulse Secure VPN i FortiGate VPN. Pretpostavlja se da su se napadači još ranije pripremili za napad, nakon što je Devcore 09. avgusta na svom blogu objavio POC i tehničke detalje propusta (što je kasnije prezentovano na Black Hat konferenciji). Na blogu su objavljeni detalji o nekoliko ranjivosti u ova dva proizvoda, ali napadači su odlučili da eksploatišu samo dve - CVE-2019-11510 za Pulse Secure i CVE-2018-13379 za FortiGate.

Obe ranjivosti su “pre-authn”, odnosno dozvoljavaju napadačima da vrate fajlove iz pogođenog sistema bez potrebe da se autentifikuju. Hakeri aktivno skeniraju ranjive uređaje, a zatim vraćaju fajlove sa lozinkama iz Pulse Secure VPN-a i fajlove VPN sesija sa FortiGate VPN-a. Pomoću tih fajlova napadači mogu da se autentifikuju na uređajima ili da lažiraju aktivnu VPN sesiju. Na internetu je dostupno oko 42.000 Pulse Secure VPN sistema, a samo je 14.500 ažurirano. Inače, patch za Pulse Secure VPN postoji od aprila, a za FortiGate od maja. Broj FortiGate VPN sistema se meri stotinama hiljada, ali ne postoje informacije o tome koliko njih nije ažurirano, odnosno koliko ih je ranjivo. U svakom slučaju, korisnicima se preporučuje da hitno izvrše ažuriranja.

Izvor: ZD Net