Аналитики «Лаборатории Касперского» сообщили о серии атак на финансовые и телекоммуникационные компании Восточной Европы и Средней Азии. Преступники использовали уязвимость корпоративных VPN-сервисов, чтобы украсть учетные данные для доступа к финансовой информации. По информации исследователей, злоумышленники пытались вывести со счетов по несколько десятков миллионов долларов.
Уязвимость CVE-2019-11510, которую эксплуатировали киберпреступники, содержится в решениях Pulse Connect Secure и Pulse Policy Secure. Они применяются в гибридных IT-инфраструктурах для контроля доступа к корпоративным ресурсам.
О проблемах безопасности в данных продуктах стало известно еще в апреле. Разработчики рассказали о целой серии ошибок, которые открывали преступникам доступ к закрытым данным, позволяли повышать свои привилегии и выполнять сторонний код в атакуемых системах.
В августе эксперты предупредили, что преступники стали прощупывать Интернет в поисках уязвимых хостов Pulse Connect Secure. По оценкам исследователей, круг возможных жертв на тот момент включал более 2,5 тыс. крупных корпораций, компаний из сферы ЖКХ, государственных организаций, больниц и университетов. При этом общее число подверженных риску VPN-серверов достигало 14,5 тыс.
К концу декабря количество непропатченных систем снизилось до 3,9 тысяч. Больше всего их остается в США (1,3 тыс.), за ними расположились Япония (409), Великобритания (228), Южная Корея (206) и Франция (186). Россия находится в конце рейтинга — исследователи насчитали здесь всего 12 уязвимых хостов.
По информации Kaspersky, за недавно обнаруженными инцидентами могут стоять русскоязычные киберпреступники. Такой вывод исследователи сделали после изучения техник и тактик, с помощью которых совершались атаки. Как уточнил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов, осенью специалисты компании расследовали сразу несколько подобных инцидентов.
«Учитывая доступность эксплойта, такие атаки могут стать более массовыми, — отметил эксперт. — Поэтому мы настоятельно рекомендуем компаниям установить последнюю версию используемого VPN-решения, не забывать про защитные решения и следить за новостями об актуальном ландшафте киберугроз».
Ранее сообщалось об уязвимости VPN-оборудования Cisco. Угроза выполнения стороннего кода обнаружилась в интернет-консоли, которая применяется для настройки некоторых моделей VPN-роутеров и VPN-брандмауэра.
Источник: https://threatpost.ru/fraudsters-exploit-vpn-services-vulnerability/35138/