Peretas Secara Aktif Menargetkan Kredensial FortiGate dan Pulse Secure VPN

  • Peringatan mendesak untuk memperbarui produk FortiGate dan Pulse Secure VPN Anda adalah melakukan peredaran akhir.
  • Aktor sekarang menggunakan kode eksploitasi yang tersedia untuk umum dan secara aktif mencari sistem yang rentan.
  • Konsekuensi dari diserang sangat mengerikan, karena eksploitasi mengarah ke penetrasi jaringan penuh.

ArsTechnica memperingatkan bahwa peretas secara aktif mencoba mencuri kunci enkripsi, kata sandi, dan kredensial pengguna dari dua produk VPN perusahaan (Virtual Private Network), yaitu Pulse Secure SSL VPN dan FortiGate SSL VPN. Pengungkapan tentang aktivitas ini datang lebih awal di bulan selama Devcore Presentasi konferensi Black Hat yang menunjukkan data tentang pemindaian yang sedang terjadi, dan upaya para penjahat untuk menemukan server yang rentan. Secara kolektif kedua produk ini diinstal pada total 530 ribu mesin, jadi masalahnya adalah skala besar sekarang.

Para peneliti Devcore mengidentifikasi eksploitasi yang digunakan oleh para aktor, yang sudah diindeks sebagai CVE-2018-13379, CVE-2019-11539, CVE-2018-13383 (pintu belakang ajaib), dan CVE-2019-11510. Ini berarti bahwa kelemahan telah diperbaiki berkat tambalan yang dirilis oleh vendor produk, tetapi karena banyak mesin tetap belum ditambal, para aktor memiliki alasan untuk melanjutkan upaya pemindaian dan eksploitasi mereka. Seperti yang dikatakan seorang peneliti kepada Ars: “Pemindaian ini menargetkan titik akhir yang rentan terhadap pembacaan file sewenang-wenang yang mengarah pada pengungkapan informasi sensitif tentang kunci pribadi dan kata sandi pengguna. Mereka mengeksploitasi kerentanan ini untuk membaca konten file `etc / passwd untuk mencuri kredensial. Kredensial ini kemudian dapat digunakan untuk melakukan serangan injeksi perintah lebih lanjut dan mendapatkan akses ke jaringan pribadi yang memungkinkan aktivitas jahat lebih lanjut. "

Kelompok peneliti menggunakan honeypot yang disediakan oleh BinaryEdge untuk mencatat beberapa serangan untuk mengetahui bagaimana kerentanan dieksploitasi. Alamat IP penyerang yang mereka tangkap adalah milik seorang aktor yang dikenal yang telah dilaporkan karena penyalahgunaan lebih dari 90 kali. Kode yang digunakan untuk eksploitasi telah tersedia untuk umum pada Packet Storm sejak 21 Agustus. Server honeypot menangkap lebih banyak IP tentu saja, karena upaya penyemprotan telah memuncak selama dua hari terakhir.

fortigate-exploits "width =" 696 "height =" 210 "data-srcset =" https://apsachieveonline.org/in/wp-content/uploads/2019/08/Peretas-Secara-Aktif-Menargetkan-Kredensial-FortiGate-dan-Pulse-Secure-VPN.png 1024w, https: //cdn.technadu.com/wp-content/uploads/2019/08/fortigate-exploits-300x90.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/08/fortigate-exploits -768x232.png 768w, https://cdn.technadu.com/wp-content/uploads/2019/08/fortigate-exploits-200x60.png 200w, https://cdn.technadu.com/wp-content/uploads /2019/08/fortigate-exploits-696x210.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/08/fortigate-exploits-1068x322.png 1068w, https: //cdn.technadu .com / wp-content / unggahan / 2019/08 / fortigate-exploits.png 1277w "size =" (maks-lebar: 696px) 100vw, 696pxsumber gambar: arstechnica.com
eksploitasi pulsa-secure "width =" 696 "height =" 162 "data-srcset =" https://apsachieveonline.org/in/wp-content/uploads/2019/08/1566718640_480_Peretas-Secara-Aktif-Menargetkan-Kredensial-FortiGate-dan-Pulse-Secure-VPN.png 1024w, https://cdn.technadu.com/wp-content/uploads/2019/08/pulse-secure-exploits-300x70.png 300w, https://cdn.technadu.com/wp-content/uploads/2019 /08/pulse-secure-exploits-768x179.png 768w, https://cdn.technadu.com/wp-content/uploads/2019/08/pulse-secure-exploits-200x47.png 200w, https: // cdn .technadu.com / wp-content / uploads / 2019/08 / pulse-secure-exploits-696x162.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/08/pulse-secure- exploits-1068x249.png 1068w "size =" (max-width: 696px) 100vw, 696pxsumber gambar: arstechnica.com

Mencuri kunci kode keras berpotensi memungkinkan penyerang jarak jauh untuk mengubah kata sandi server, dengan penetrasi jaringan penuh tetap menjadi risiko utama dalam situasi ini. Sederhananya, jika Anda menggunakan produk FortiGate atau Pulse Secure VPN dan Anda belum memperbaruinya, pastikan untuk menerapkan semua tambalan yang tersedia sesegera mungkin. Seperti yang kami sebutkan, ada banyak aktor jahat yang secara aktif mencari sistem yang rentan di luar sana sekarang, dan Anda benar-benar tidak ingin mengambil risiko lagi. Untuk keamanan tambahan, aktifkan audit log lengkap dan kirim ke server out-bound, aktifkan otentikasi multi-faktor, dan juga otentikasi sertifikat klien.

Sudahkah Anda menerapkan langkah-langkah keamanan di atas? Bagikan komentar Anda dengan kami di bagian bawah di bawah ini, atau bergabunglah dengan diskusi di acara sosial kami, di Facebook dan Twitter.


Pos terkait

Back to top button