Filtradas las contraseñas de más de 900 VPN empresariales

Hay noticias como esta sobre la pérdida de seguridad de redes VPN que, me sabe mal decirlo, pero me ponen de bastante mal humor, principalmente porque creo que son una muestra clara de dos defectos del ser humano: que no aprendemos en cabeza ajena y que somos el único animal que tropieza dos veces con la misma piedra. Y sí, sé que que lo normal ante un problema de seguridad es empatizar con la víctima del mismo, pero es que hay ocasiones en las que lo ponen realmente difícil…

ZDNet informa hoy de que un ciberdelincuente ha hecho público un listado con contraseñas para más de 900 redes privadas virtuales (VPN)  que emplean Pulse VPN. Hasta aquí, sin duda, hablamos de una acción delictiva, en la que los reproches deben caer sobre quién ha efectuado esa acción, ¿verdad? El problema es que, en este caso, está particularmente claro que la responsabilidad es, como mínimo, repartida.

¿Y qué es lo que contiene la base de datos publicada por el ciberdelincuente? Pues estos son los campos de la misma:

• Direcciones IP de los servidores Pulse Secure VPN
• Versión de firmware del servidor Pulse Secure VPN
• Claves SSH para cada servidor
• Lista de todos los usuarios locales y sus hashes de contraseñas
• Detalles de la cuenta de administrador
• Últimos inicios de sesión de VPN (incluidos nombres de usuario y contraseñas de texto sin cifrar)
• Cookies de sesión de VPN

Todo esto, como ya comentábamos antes, para algo más de 900 implementaciones de esta VPN.

¿Y por qué hablo de responsabilidad compartida? Pues porque, en todos los casos, esa información se ha obtenido sacando partido de la vulnerabilidad CVE-2019-11510, un problema de seguridad de Pulse VPN descrito en mayo del año pasado. Un problema de seguridad más que conocido y que se solventa actualizando el software. Una solución disponible desde hace alrededor de un año.

¿Se trata de un problema poco conocido, quizá? No, ¿recuerdas que hace ya unos meses te hablamos del ataque de ransomware con Sodinokibi que había sufrido Travelex? Si lo leíste lo recordarás, y en caso contrario es bastante probable que ya te estés imaginando lo que voy a decir… sí, el origen de aquel ataque fue una instalación no actualizada de Pulse VPN.

Porque, y esto hay que decirlo y remarcarlo, se puede decir que parte de la responsabilidad de es de la desarrolladora del software de VPN, pero ésta actuó de manera diligente solucionando el problema y publicando actualizaciones para proteger a todos sus usuarios. Pero ocurre que parte de los mismos no priorizaron lo suficiente el llevar a cabo dichas actualizaciones. Y otros no lo sé, pero los responsables de Travelex seguro que lo están lamentando mucho desde hace unos meses.

Claro, a veces ocurre que cuando los datos son hechos públicos, la fecha de captura de los mismos queda ya lejos en el tiempo, ¿verdad? El problema es que, según las averiguaciones hechas por ZDNet, la obtención de dichos datos es bastante reciente, según las marcas de tiempo en la lista (una colección de carpetas), las fechas de los escaneos, o la fecha en que se compiló la lista, aparecen entre el 24 de junio y el 8 de julio de 2020. Sí, instalaciones de Pulse VPN que no han sido actualizadas, meses después del incidente de Travelex.

Es bastante probable que el atacante se dedicara a hacer un barrido de direcciones IP buscando instalaciones de Pulse VPN no actualizadas y, por lo tanto, atacables explotando la vulnerabilidad CVE-2019-11510. ¿Y a qué riesgos se exponen ahora todas esas redes (supuestamente) privadas virtuales? Pues a que cualquier atacante pueda colarse en su red como si fuera un usuario legítimo y, por lo tanto, con todos los permisos que tendría de serlo realmente.

Son muchos los ataques que se pueden llevar a cabo a partir de este punto, y el primero que me viene a la cabeza (a mí y entiendo que a otras muchas personas) es el ransomware. Los responsables de esas 900 infraestructuras en las que no se ha actualizado Pulse VPN podrían enfrentarse, próximamente (si es que no lo están siendo ya), a ataques de ransomware. Espero que aún estén a tiempo de actualizar… y espero que lo hagan ya. Y, claro, cambiar todas las credenciales que también se han visto comprometidas, puesto que esos accesos siguen siendo válidos, aún con la actualización.