Een groep van Chinese state-sponsored hackers is gericht op enterprise VPN-servers van Fortinet en Pulse Veilige nadat details over beveiligingsfouten in beide producten werd het publiek kennis laatste maand.
De aanvallen worden uitgevoerd door een groep die bekend staat als APT5 (ook bekend als Mangaan), ZDNet heeft geleerd van bronnen bekend met de aanvallen.
Volgens FireEye rapport, APT5 is actief sinds 2007, en “lijkt te zijn een grote bedreiging groep die bestaat uit verschillende subgroepen, vaak met verschillende tactieken en infrastructuur.”
FireEye zegt de groep heeft gericht of geschonden organisaties in verschillende branches, maar de focus lijkt te zijn op telecommunicatie en technologie bedrijven in de eerste plaats, en het nemen van een bijzonder belang bij de satelliet-communicatie ondernemingen.
APT5 aanvallen begon vorige maand
Vanaf eind augustus, een subgroep van de grotere APT5 overkoepelende groep lijkt te hebben ingesteld infrastructuur door middel waarvan ze begonnen met het uitvoeren van internet-scans om te zoeken naar Fortinet en Pulse Veilige VPN-servers.
APT5 was een van de eerste om te beginnen met het scannen van het internet en later proberen te profiteren van twee kwetsbaarheden in de twee VPN-server-producten.
Meer informatie over deze twee kwetsbaarheden werden gepresenteerd van twee weken eerder, op de Black Hat USA security conference in Las Vegas.
Beide kwetsbaarheden (CVE-2018-13379 voor Fortinet en CVE-2019-11510 voor Pulse Veilig) zijn de zogenaamde “pre-auth-bestand leest,” die door een aanvaller worden gebruikt om bestanden op te halen van de VPN-server zonder dat te verifiëren.
APT5 — en andere bedreiging groepen — werden met behulp van deze twee kwetsbaarheden te stelen bestanden opslaan van het wachtwoord of een VPN-sessie gegevens van de betrokken producten. Deze bestanden zou hebben toegestaan dat aanvallers over te nemen kwetsbare apparaten.
Bronnen die waargenomen de APT5 aanvallen zei dat ze niet in een positie om te bepalen of de groep was succesvol in het overtreden van de apparaten.
Gerichte VPN-servers zijn high-end producten
Zowel Fortinet ‘ s Fortigate SSL VPN en Pulse-Beveiligde SSL VPN-producten zijn zeer populair. Bijvoorbeeld, Fortinet ‘ s Fortigate VPN is de absolute marktleider, met meer dan 480,000 Fortigate SSL VPN servers die over de hele wereld.
Aan de andere kant, Pols-Beveiligde SSL-VPN wordt beschouwd als de SSL VPN-markt de meest high-end product dat wordt geïnstalleerd om het beveiligen van de toegang tot de interne netwerken bij veel van de Fortune 500-bedrijven, internet ‘ s grootste tech bedrijven en overheidsinstellingen.
Volgens threat intelligence bedrijf Slecht Pakketten LLC, er zijn rond de 42.000 Pulse Veilige VPN-servers online beschikbaar.
Veel bedrijven is mislukt patch
Zowel de Fortinet en Pulse Veilig kwetsbaarheden ontdekt werden eerder dit jaar door de onderzoekers van de veiligheid van een bedrijf met de naam Devcore.
De problemen werden gerapporteerd aan zowel leveranciers in Maart, en gecorrigeerd door zowel leveranciers met de grootste spoed, Devcore zei in twee blog posts, waarin zowel de problemen [1, 2]. Pulse Veilig een patch uitgebracht in April, en Fortinet gevolgd met hun eigen in Mei.
Echter, de eigenaren van deze twee SSL VPN-servers lijken te hebben nagelaten om te installeren van deze patches. De redenen om dit niet te doen variëren.
Aan de ene kant, er zijn veel Fortinet klanten die gemeld op sociale media dat ze niet eens weten dat er een patch beschikbaar voor de Fortigate VPN, laat staan dat ze moest patch.
Het bedrijf deed geen verzoek voor commentaar verzonden eerder deze week, op zoek naar meer informatie. Echter, Fortinet een blog gepubliceerd bericht dagen eerder, op 28 augustus, brengen de kwestie van zijn, Kan de patch in de aandacht van haar site lezers eens te meer.
Pulse Veilig gewaarschuwd en nam contact op met klanten
Aan de andere hand, Pols Veilig was veel meer actief in de kennisgeving aan de klant, maar dat betekent niet dat klanten gaven gehoor aan de vennootschap advies.
Een scan in een half augustus bleek dat bijna 14,500 van de 42,000 Pulse SSL VPN-servers nog met een kwetsbare versie. Een tweede scan uitgevoerd van vorige week bleek dat het aantal nauwelijks ging naar beneden, het bereiken van 10.500.
Maar de schuld hier niet lijkt te worden op Pulse te Beveiligen.
“We hebben niet alleen aanleiding van een openbare Security Advisory – SA44101, maar ingaande die dag in April, zijn we actief op de hoogte met onze klanten, partners en dienstverleners van de beschikbaarheid van en de behoefte van de patch via e-mail, in-product waarschuwingen, op onze community site, binnen onze partner portal, en onze customer support-website,” Scott Gordon, Chief Marketing Officer bij Pulse Veilig, vertelde ZDNet in een e-mail, waarin de inspanningen van de onderneming om klanten informeren.
“Ons succes van de klant managers hebben ook rechtstreeks contact opnemen met en het werken met klanten,” voegt hij toe. “Bovendien, Pulse Veilig support engineers zijn 24×7 beschikbaar, ook in het weekend en op feestdagen, om klanten te helpen die hulp nodig hebben om de patch toe te passen correctie.
“We hebben ook hulp geboden aan klanten de patch toe te passen correctie voor deze beveiligingslekken zelfs als ze niet onder een actief onderhoudscontract,” Gordon zei.
“Klanten die nog hulp nodig hebben, moeten contact opnemen met Pulse Veilige ondersteuning via de contactgegevens op de volgende URL: https://support.pulsesecure.net/support/support-contacts/”
Gordon zei dat deze inspanningen zijn vruchtbaar, als de meerderheid van de klanten van het bedrijf met succes had toegepast de patch door eind augustus.
Toch zijn niet alle klanten hebben gehoor gegeven aan de vennootschap advies, en deze organisaties zouden uiteindelijk het betalen van een steiler prijs later op de weg.
Chinese APTs (advanced threat groepen) niet alleen inbreuk op buitenlandse doelen (bedrijven, overheid, organisaties, universiteiten) voor het doel van het verzamelen van inlichtingen of politieke cyber-spionage. Ze hebben ook het stelen van intellectueel eigendom, die vele malen maakt zijn weg in de handen van de Chinese concurrenten, het kwetsen van de gehackte bedrijven voor de komende jaren op manieren die veel niet verwachten.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters