Los sistemas VPN (servidores) suelen estar expuestos a Internet y son un objetivo común para ataques debido a su vulnerabilidad. Recientemente, se descubrió una vulnerabilidad en los dispositivos Ivanti Connect Secure / Pulse Secure, que permite el acceso remoto a un servidor VPN sin autenticación.
Según informes, un determinado grupo APT, probablemente de China, logró acceder a más de 1700 dispositivos de este tipo en todo el mundo, incluyendo en Polonia. Instituciones de sectores como el gobierno, el ejército, empresas de telecomunicaciones, proveedores de defensa, banca, finanzas, contabilidad, firmas de asesoramiento, así como la aviación, aerolíneas e ingeniería fueron víctimas de estos ataques.
Rapid7 ha publicado un análisis del problema e identificado dos vulnerabilidades. La primera está relacionada con el hecho de que una solicitud de API en el dispositivo no requiere autenticación, lo que proporciona acceso a cualquier función de la API. La segunda vulnerabilidad implica la inyección de comandos en cualquier función de la API, lo que permite la ejecución de cualquier comando del sistema con privilegios de root.
A pesar de la presencia de autenticación de dos factores (2FA), el ataque a la vulnerabilidad del servidor VPN evita este mecanismo y permite eludir las medidas de seguridad. Al obtener acceso de root al servidor VPN, el atacante tiene los mismos privilegios que un usuario de VPN con sesión iniciada.
Esta vulnerabilidad se está explotando activamente como punto de entrada inicial para futuras explotaciones de red. Es importante verificar si nuestros dispositivos VPN han sido infectados y tomar las medidas de seguridad adecuadas, como actualizaciones de software y escaneo regular de dispositivos.