İnterneti daha güvenli kullanmak için tercih edilen VPN hizmetleri, son dönemde hackerlar tarafından sıklıkla saldırıya uğruyor. Bu saldırıların son mağduru ise Pulse Secure VPN oldu. Pulse Secure VPN’in 900’den fazla kurumsal sunucusunun IP adresini paylaşan hacker, bunların yanında kullanıcı adları ve şifreleri de paylaştı.
- Pulse Secure VPN sunucularının IP adresleri
- Pulse Secure VPN sunucularının firmware versiyonları
- Tüm sunucuların SSH anahtarları
- Kullanıcıların listesi ve şifreleri
- Yönetici hesabı ayrıntıları
- Son VPN girişleri (Kullanıcı adları ve açık metin şifreleri dahil)
- VPN oturum çerezleri
Finansal suçlar konusunda tehdit istihbarat analisti olan Bank Security, Pulse Secure VPN sunucularının CVE-2019-11510 güvenlik açığından etkilendiğini söyledi. Bank Security, listeyi derleyen hackerın, Pulse Secure VPN sunucuları için IPv4 adres alanını taradığını, sistemlere erişmek ve sunucu ayarlarına ulaşmak için CVE-2019-11510 güvenlik açığından yararlandığını ve elde ettiği tüm bilgileri tek bir merkezde depoladığını söyledi. Paylaşılan listenin klasör tarihlerine baktığımızda, 24 Haziran ile 8 Temmuz 2020 arasında gerçekleştiği görülüyor.
Elde edilen bilgilerin çoğu güncelleme yapmayan kullanıcılar
ABD merkezli bir diğer tehdit istihbarat şirketi Bad Packets, bu listede bulunan 913 IP adresinden 677’sinin CVE-2019-11510’a karşı savunmasız olduğunu söyledi. Bu kurumsal şirketlerin Haziran 2020’den bu yana yama yapmadığı anlaşılıyor. Bu şirketlerden bazıları ise Pulse Secure sunucularını güncelleseler bile şifrelerini değiştirmeyen kişilerden oluşuyor.
p
Pulse Secure VPN sunucuları, genelde şirket ağlarına erişim için kullanılır. Yani personel evden çalışıyor dahi olsa internet üzerinden şirket ağına uzaktan bağlanabilir. Bu tür bilgiler ele geçirildiğinde ise hackerlar tüm şirket bilgilerine kolaylıkla erişim sağlayabilir.
