Hacker lekt wachtwoorden van meer dan 900 zakelijke VPN-servers

Een hacker heeft in plaintext gebruikersnamen en wachtwoorden online gedeeld, samen met IP-adressen van meer dan 900 Pulse Secure VPN bedrijfsservers. Nog slechter nieuws: de lijst werd gepubliceerd op een populair hackerforum waar meerdere ransomware-groepen actief zijn.

Volgens ZDNet is de lijst authentiek en bevat het IP-adressen van Pulse Secure VPN-servers, de firmwareversie, SSH-sleutels voor elke server, een lijst van alle lokale gebruikers en hun wachtwoord hashes, admin accountdetails, recente VPN-logins (inclusief gebruikersnaam en cleartext wachtwoorden) en sessiecookies.

Pulse Secure VPN-servers worden meestal gebruikt als toegangspunten naar bedrijfsnetwerken zodat werknemers vanop afstand interne apps kunnen gebruiken. Wanneer deze dienst gecompromitteerd is, kunnen hackers eenvoudig toegang krijgen tot het interne netwerk. Ransomware-groepen en APT’s richten zich vooral op deze aanvalsmanier om binnen te breken.  

Wachtwoorden veranderen

Van de 913 unieke IP-adressen werden er 677 gedetecteerd door Bad Packets CTI scans als kwetsbaar voor CVE-2019-11510. Dit lek werd publiek gemaakt vorig jaar. De 677 bedrijven hebben hun VPN-servers sindsdien niet gepatcht. De hacker in kwestie heeft in juni een scan uitgevoerd en de servers gecompromitteerd.

Bedrijven die sinds juni hun Pulse Secure VPN-servers hebben geüpdatet, moeten hun wachtwoorden alsnog veranderen om te voorkomen dat hackers hun toestellen kunnen overnemen en bijgevolg het hele bedrijfsnetwerk.

Hackerforum

Om alles nog erger te maken, heeft de hacker in kwestie de gegevens gedeeld op een hackerforum waar meerdere ransomware-groepen actief zijn. Onder andere NetWalker, Lockbit, Avaddon, Makop en Exorcist ransomware-groepen gebruiken het forum om leden en klanten te recruteren.

Veel van hen gebruiken netwerktoestellen zoals Pulse Secure VPN-servers om binnen te breken en ransomware te installeren. Alle bestanden worden versleuteld en meestal wordt een grote geldsom geëist zoals bij Xerox en LG recent.

De publicatie van deze lijst van gegevens is bijzonder gevaarlijk voor elk bedrijf dat met Pulse Secure VPN-servers werkt en sinds vorig jaar zijn oplossing niet meer hebben geüpdatet. Wie twijfelt, verandert best alle wachtwoorden en updatet nu naar de nieuwste versie.