Хакер опубликовал на подпольном русскоязычном форуме список логинов и паролей пользователей, а также IP-адреса для более чем 900 корпоративных серверов Pulse Secure VPN.
Как сообщило издание ZDNet, подтвердившее подлинность данных, список включает IP-адреса серверов Pulse Secure VPN, информацию о версии прошивки серверов Pulse Secure VPN, SSH-ключи для каждого сервера, список всех локальных пользователей и их хэши паролей, данные учетной записи администратора, cookie-файлы сеанса VPN и пр.
Список обнаружил аналитик, использующий псевдоним Bank Security, который специализируется на финансовых преступлениях. Как отметил эксперт, все включенные в список VPN-серверы Pulse Secure используют версию прошивки, содержащую уязвимость CVE-2019-11510.
Эксперт полагает, что хакер просканировал Сеть на предмет уязвимых серверов Pulse Secure VPN, проэксплуатировал уязвимость CVE-2019-11510 для доступа к системам, а затем похитил данные c сервера и собрал всю информацию в одном хранилище.
Как отметило издание, список был опубликован на хакерском форуме, который часто посещают операторы вымогательского ПО. Например REvil (Sodinokibi), NetWalker, Lockbit, Avaddon, Makop и Exorcist общаются на данном форуме и используют его для найма разработчиков и поиска клиентов.
Источник: securitylab.ru