Atacantes están escaneando activamente servidores Pulse Secure VPN vulnerables a una falla descubierta recientemente y explotable de manera remota.

El jueves 22 de agosto se detectó un escaneo masivo desde una IP procedente de España cuyo objetivo eran puntos de acceso Pulse Connect Secure VPN vulnerables a CVE-2019-11510.

Esta vulnerabilidad permite la lectura de información sensible por un usuario sin autenticación, lo que permitiría a un atacante robar claves privadas y contraseñas de usuario. Estas fugas de credenciales pueden, a su vez, desembocar en una ejecución remota de código (CVE-2019-11539) y permitir al atacante acceder a la red VPN.

⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
Mass scanning activity detected from 2.137.127.2 (🇪🇸) checking for @pulsesecure Pulse Connect Secure VPN endpoints vulnerable to arbitrary file reading (CVE-2019-11510).#threatintel pic.twitter.com/fiRUMKjwbE

— Bad Packets Report (@bad_packets) August 22, 2019

⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
Mass scanning activity detected from 81.40.150.167 (🇪🇸) checking for @pulsesecure Pulse Connect Secure VPN endpoints vulnerable to arbitrary file reading (CVE-2019-11510) that allows sensitive information disclosure.#threatintel pic.twitter.com/vYEJ1Coa38

— Bad Packets Report (@bad_packets) August 23, 2019

En este intento de explotación detectado en España se intentó descargar el fichero /etc/passwd, que contiene los nombres de usuarios asociados con el servidor VPN. Si se recibe como respuesta «HTTP 200/OK», indica que el servidor VPN es vulnerable.

Es muy probable que los atacantes ya hayan enumerado todas las instancias de Pulse Secure VPN vulnerables a CVE-2019-11510, dado el volumen de tráfico usado durante el escaneo.

Los investigadores de Bad Packets, han escaneado 41,850 puntos de acceso Pulse Secure VPN para confirmar cuantos de ellos son vulnerables. En total se descubrieron 14.528 endpoints vulnerables a CVE-2019-11510.

Un total de 2535 Sistemas Autónomos contienen instancias vulnerables de Pulse Secure VPN en sus redes que afectan directamente, tanto a organizaciones públicas, como privadas de diversos sectores, tales como:

• Agencias federales, estatales militares y locales de América.
• Universidades públicas y escuelas.
• Hospitales.
• Empresas eléctricas y de gas.
• Instituciones financieras.
• Corporaciones del mundo audiovisual.
• Compañías del listado Fortune 500.

Por países, el listado del número de instancias vulnerables son:

Pulse Secure VPN ha publicado instrucciones para actualizar las versiones vulnerables y recomienda su aplicación a la mayor brevedad posible, en aras de evitar posibles brechas de seguridad.

Más Información:

https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

https://nvd.nist.gov/vuln/detail/CVE-2019-11510