Liste mit 900+ VPN-Firmenzugängen in Erpresserforum veröffentlicht
Auch deutsche Firmen finden sich auf der Abschussliste.
Viele VPN-Server Pulse Connect Secure sind immer noch von einer Sicherheitslücke betroffen, die seit April 2019 bekannt ist. Jetzt hat ein Unbekannter in einem von Cybercrime-Akteuren genutzten Forum eine Liste mit 1800 IP-Adressen, Benutzernamen und Passwörtern veröffentlicht.
Von denen offenbar sind über 900 immer noch einfach angreifbar, berichtet das US-Magazin ZDnet. Entweder haben also die Admins die damals veröffentlichten Patches nicht installiert oder sie haben die kompromittierten Passwörter danach nicht geändert.
Über ein Jahr lang offen
Kriminelle Cyber-Gangs nutzen solche Zugänge gern, um sich Zugang zu Firmennetzen zu verschaffen, die sie dann mit den gestohlenen und oft auch verschlüsselten Daten erpressen. Das Geschäft lohnt sich: Bei solchen Vorfällen werden dann oft Millionensummen gefordert und auch gezahlt.
CERT-Bund klagt, "auch mehrere Dutzend deutsche Unternehmen sind hiervon betroffen", obwohl man seit einem Jahr regelmäßig die Netzbetreiber/Provider über die offenen Systeme informiere. Auch heise Security hatte bereits mehrfach vor den von Pulse VPN ausgehenden Gefahren gewarnt.
Wer einen Pulse VPN-Server administriert, sollte jetzt sofort alles stehen und liegen lassen und überprüfen, ob der Patch für die Sicherheitslücke CVE-2019-11510 eingespielt wurden und danach auch die Passwörter geändert wurden. Hier ist das Security-Advisory des Hersteller PulseSecure, mit dem klaren Hinweis: "Any end user and administrator passwords used to login to the device should be changed":
(ju)