روز پنجشنبه ، 22 اوت 2019 ، ماهواره های عزیز ما اسکن انبوه فرصت طلب را از یک میزبان در اسپانیا شناسایی کردند که به سرور Pulse Secure VPN Pulse Connect Secure VPN Pulse Secure VPN حمله کرد و نقاط ضعف را در برابر CVE-2019-11510 نشان داد. این آسیب پذیری در خواندن خودسرانه پرونده ها ، افشای اطلاعات محرمانه را امکان پذیر می کند و به مهاجمان غیرمجاز اجازه می دهد تا به کلیدهای خصوصی و کلمات عبور کاربر دسترسی پیدا کنند. استفاده مداوم از اطلاعات معتبر می تواند منجر به تزریق فرمان از راه دور (CVE-2019-11539) شود و به مهاجمان اجازه دهد به VPN های خصوصی دسترسی پیدا کنند.
[1945⚠️1945
اسکن انبوه از 2.137.127.2 (🇪🇸) بررسی شد pulsesecure Pulse Connect Secure VPN نقاط پایانی مستعد خواندن پرونده های دلخواه (CVE-2019-11510). #threatintel pic.twitter.com/fiRUMKjwbE– گزارش بسته های بد (bad_packets) 22 آگوست 2019
در روز جمعه 23 اوت 2019 ، عکس های عزیز ما اسکن اضافی را کشف کردند CVE-2019-11510 از میزبان دیگری در اسپانیا.
⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
اسکن انبوه از بررسی 81.40.150.167 (🇪🇸) بررسی شد pulsesecure Pulse Connect Secure VPN نقاط پایانی مستعد خواندن پرونده های دلخواه (CVE-2019-11510) که اجازه می دهد افشای اطلاعات محرمانه. #threatintel pic.twitter.com/vYEJ1Coa38– گزارش بسته های نادرست (bad_packets) 23 آگوست 2019
پنجشنبه 29 اوت 2019 ، زنبورد ما فعالیت اسکن دسته جمعی برای سرورهای آسیب پذیر Fortinet و Pulse Secure VPN از یک میزبان ایالات متحده شناسایی شد.
⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
اسکن گسترده از 209.217.227.186 (🇺🇸) شناسایی شده در تلاش برای استفاده از سرورهای Pulse Secure VPN (CVE-2019-11510) و سرورهای Fortinet FortiGate VPN (CVE-2018-13379) مستعد افشای اطلاعات محرمانه . #threatintel pic.twitter.com/UQkgUPSkKo– گزارش بسته های نادرست (bad_packets) 30 اوت 2019
فعالیت شناسایی شده توسط میزبانان در اسپانیا سعی در بارگیری پرونده "etc. / گذشت" ، که شامل نامهای کاربری مرتبط با سرور VPN است (نه حساب مشتری). در همه موارد ، یک پاسخ موفق "HTTP 200 / OK" به این اسکن نشان می دهد که نقطه انتهایی در برابر حملات بیشتر آسیب پذیر است. با توجه به اسکن مداوم ، مهاجمان احتمالاً همه سرورهای Pulse Secure VPN را که در معرض دید عموم قرار دارند ، آسیب پذیر در CVE-2019-11510 دانستند.
چند میزبان در برابر CVE-2019-11510 آسیب پذیر هستند؟
با استفاده از داده های ارائه شده توسط BinaryEdge ، ما 41850 نقاط پایانی VPN Pulse Secure را اسکن کردیم تا مشخص کنیم کدام یک از آنها آسیب پذیر هستند. در روز شنبه ، 24 اوت 2019 ، اسکن های ما در کل 14،528 نقطه پایانی Pulse Secure VPN را مستعد CVE-2019-11510 تشخیص دادند. هیچ اطلاعات محرمانه ای در طول اسکن های ما فاش نشده و یا ثبت نشده است زیرا ما به راحتی درخواست HEAD HTTP (بر خلاف درخواست GET که یک فایل را بارگیری می کند) ارسال کردیم تا قابلیت خواندن هر پرونده را تأیید کنیم.
میزبان های آسیب پذیر در کجا قرار دارند؟
میزبان آسیب پذیر در 121 کشور جهان یافت شد.
چه سازمان هایی تحت تأثیر CVE-2019-11510 قرار دارند؟
مشخص شده است که 2535 سیستم مستقل منحصر به فرد (ارائه دهنده شبکه) دارای نقاط پایانی حساس Pulse Secure VPN در شبکه خود هستند. ما دریافتیم که این آسیب پذیری در حال حاضر تحت تأثیر قرار گرفته است:
- USA. آژانس های نظامی ، فدرال ، ایالتی و محلی
- دانشگاه ها و مدارس دولتی
- بیمارستان ها و مراکز بهداشت و درمان
- شرکت های الکتریکی و گازی
- موسسات بزرگ مالی
- اخبار / شرکت های رسانه ای
- تعداد زیادی از 500 شرکت
لیست سازمان های در معرض خطر منتشر نمی شود زیرا این آسیب پذیری مهم به راحتی با استفاده از کد بررسی مفهوم در دسترس عموم مورد سوء استفاده قرار می گیرد.
علاوه بر این ، سوء استفاده بیشتر از این آسیب پذیری ممکن است اجرای کد از راه دور (RCE) را برای مشتریانی که به سرور VPN آلوده وصل می شوند ، امکان پذیر سازد. از این روش می توان برای پخش باج افزار و انواع بدافزارها در شبکه های حساس استفاده کرد.
اظهارات نهایی
مدیران VPN امن Pulse Secure باید فوراً اطمینان حاصل کنند که آنها از نسخه نرم افزار سرور "Pulse Connect Secure" در برابر CVE-2019-11510 آسیب پذیر نیستند. Pulse Secure نکاتی را در مورد به روزرسانی به نسخه های ثابت ارائه کرده است. هیچ راه حلی برای این آسیب پذیری وجود ندارد. با توجه به شدت این آسیب پذیری در افشای اطلاعات محرمانه همراه با خطر دسترسی غیرمجاز به شبکه های خصوصی – زمان کمی برای بروزرسانی قبل از اینکه افراد درگیر در این تهدید فعالیت های مخرب دیگری داشته باشند وجود دارد.
با توجه به ماهیت حساس این آسیب پذیری ها ، آدرس های IP نقاط پایانی آسیب دیده Pulse Secure VPN به طور عمومی منتشر نمی شود. با این حال ، این لیست به صورت رایگان برای تیم های مجاز دولتی CERT ، CSIRT و ISAC در دسترس است.
ما یافته های خود را مستقیماً با US-CERT (CISA / DHS) و سایر سازمان های اجرای قانون فدرال ایالات متحده برای تحقیقات و اصلاح بیشتر در میان گذاشتیم. علاوه بر این ، ما به این سازمان ها نیز آگاه شده ایم: A-ISAC، ACSC، aeCERT، AusCERT، CCCS، CERT-Bund، CERT / CC، CERT.be، CERT-FR (ANSSI)، CERTGOVIL، CERT-In، CERT POLSKA، CERT.PT، CERT NZ، CFCS-DK، CIRCL.LU، CITC-SA، colCERT، E-ISAC، EG-CERT، FS-ISAC، GovCERT.ch، GovCERT.gv.at، GovCERT.HK، GOVCERT.LU، H-ISAC ، IL-CERT ، Janet CSIRT، JPCERT / CC، KN-CERT، KPN-CERT، MOD، MS-ISAC، MSRC، NAAEA، NCIIPC، NCFTA، NCIS، NCSC، NCSC-IE، NCSC-NL، Q-CERT، REN-ISAC، SingCERT، ThaiCERT، TR-CERT، TSA، TT-CSIRT، TWCERT / CC، TWNCERT، VNCERT و Yoroi CERT.
به روزرسانی های اضافی
روز شنبه ، 31 آگوست 2019 ، ما دور دیگری از اسکن های آسیب پذیری را انجام دادیم و تعیین کردیم که 10471 سرور Pulse Secure VPN در سراسر جهان آسیب پذیر هستند.
تعداد کل سرورهای VPN Pulse Secure توسط کشور:
🇺🇸 ایالات متحده: 3 481
🇯🇵 ژاپن: 1 381
🇬🇧 انگلستان: 664
🇫🇷 فرانسه: 418
🇩🇪 آلمان: 400
🇳🇱 N etandia: 283
Korea کره جنوبی: 258
🇧🇪 بلژیک: 252
🇮🇱 اسرائیل: 225
🇨🇭 سوئیس: 213
همه دیگران: 2896https: //t.co / HVXWLcJZj1– گزارش بسته های نادرست (bad_packets) 1 سپتامبر 2019
روز دوشنبه ، 1 سپتامبر 2019 JPCERT / CC این توصیه را منتشر کرد با سرورهای Pulse Secure VPN تماس می گیرید تا در اسرع وقت به جدیدترین نسخه ارتقا یابند. از JPCERT / CC بخاطر کمک به اطلاع رسانی به سازمان های در معرض خطر در ژاپن تشکر می کنم.
"31 آگوست 2019 ، طبق گفته های Bad Packets ، 10471 میزبان آسیب پذیر بودند و 1.381 از آنها میزبان ژاپن بودند. گزارش ، JPCERT / CC با سرپرستان این میزبان ها تماس گرفت. "Https://t.co/u9nXD8yiDSociation19659043] – گزارش در مورد بسته های نادرست (bad_packets) 3 سپتامبر 2019
روز پنجشنبه ، 5 سپتامبر 2019 ، Honeypot های ما اسکن گسترده CVE-2019 را تشخیص دادند -11510 از دو میزبان در آلمان. اقدام با استفاده از تلاش برای بارگیری پرونده "etc / host" که حاوی نام میزبان داخلی و آدرسهای IP مرتبط با سرور VPN است.
⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
اسکن انبوه از 164.68.123.63 (🇩🇪) و 5.189 .137.92 (detected) شناسایی شد و سعی در استفاده از سرورهای Pulse Secure VPN مستعد هر خواندن پرونده (CVE-2019-11510) ، که منجر به افشای اطلاعات اطلاعاتی محرمانه کاربر. #threatintel pic.twitter.com/7uuarIUwWW [19659004] – گزارش بسته های نادرست (bad_packets) 5 سپتامبر 2019
در جمعه ، 6 سپتامبر 2019 ، عکس های عزیز ما اسکن گسترده را تشخیص دادند CVE-2019-11510 از میزبان استونی. اقدام با استفاده از تلاش برای بارگیری پرونده "etc / passwd" که حاوی نامهای کاربری مرتبط با سرور Pulse Secure VPN است.
[1945⚠️1945
اسکن گسترده ای از 5.101.181.41 (🇪🇪) با استفاده از سرورهای Pulse Secure VPN حساس به هر خواندن پرونده ها (CVE-2019-11510) شناسایی شد و منجر به افشای اعتبار کاربر و سایر اطلاعات محرمانه شد. #threatintel pic.twitter.com/qQg6Zj44gF– گزارش بسته های بد (@ bad_packets) 6 سپتامبر 2019
شنبه 7 سپتامبر 2019 ، هندی های ما اسکن گسترده را تشخیص دادند CVE-2019-11510 از میزبان دیگری در استونی.
⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
فعالیت اسکن گسترده ای که از 5.101.180.68 کشف شده است (🇪🇪) تلاش می کند تا از سرورهای Pulse Secure VPN مستعد به خواندن پرونده های دلخواه غیر مجاز (CVE-2019-11510) استفاده کند و منجر به افشای اعتبار کاربر و سایر اطلاعات تماس محرمانه شود . #threatintel pic.twitter.com/t7pMQrGBAl– گزارش درمورد بسته های نادرست (bad_packets) 7 سپتامبر 2019
یکشنبه 8 سپتامبر 2019 اسکناس های عظیم ما را تشخیص دادند در جستجوی CVE-2019-11510 از میزبان دیگری در استونی. این سومین بار بود که فعالیتهای مربوط به سوءاستفاده از شبکه "FASTVPS" (AS198068) را شناسایی کردیم.
⚠️ 𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
فعالیت اسکن انبوه از 5.101.181.111 (🇪🇪) با تلاش برای سوء استفاده از آسیب پذیری سرورهای Pulse Secure VPN به خواندن غیرمجاز هر پرونده (CVE-2019-11510) انجام شد که منجر به افشای رمزهای عبور کاربر و کلیدهای خصوصی شد. #threatintel pic.twitter.com/aZuZkLHKtM– گزارش در مورد بسته های نادرست (bad_packets) 8 سپتامبر 2019
در روز یکشنبه 22 سپتامبر 2019 ، عکس های عزیز ما اسکن گسترده را تشخیص دادند اسکن سرورهای Pulse Secure VPN. این فعالیت توسط یک میزبان در روسیه و یک گره خروج Tor در سوئد صورت می گیرد.
شخصی از Tor برای اسکن سرورهای Pulse Secure VPN استفاده می کند. pic.twitter.com/pld5ZTcRYL
– گزارش در مورد بسته های نادرست (bad_packets) 23 سپتامبر 2019
روز دوشنبه 23 سپتامبر 2019 ، اسکن گسترده ای از سرورهای Pulse Secure VPN ادامه یافت از طریق Tor
اسکن گسترده در حال انجام سرورهای Pulse Secure VPN با استفاده از Tor.
پاسخ به این اسکن نشان می دهد كه آیا سرور از نسخه Pulse Connect Secure مستعد CVE-2019-11510 استفاده می كند یا خیر. #threatintel https://t.co/Kw6nmdnRV2 pic.twitter.com/yk2sirZURL
– گزارش بسته های نادرست (bad_packets) 28 سپتامبر 2019 [19659] در روز دوشنبه ، 7 اکتبر 2019 ، NSA راهنمائی در مورد کاهش تهدیدات مربوط به هدف قرار دادن Pulse Secure و سایر سرورهای VPN از نوع سازمانی را منتشر کرد.
هر دو NCSC و NSAGov APT را به طور فعال با استفاده از CVE-2019-11510 گزارش دادند.
اگر از نسخه حساس نرم افزار Pulse Secure VPN استفاده می کنید (تصویر زیر) نسخه های تعمیر شده در اینجا موجود است: https://t.co/vrSYciVN1ucepts19459010 برق#threatintelociation19459009] https://t.co/YffdQtMCMT pic.twitter.com/9Xp85IYpGf
– گزارش بسته بندی بد (bad_packets) 9 اکتبر 2019
علاوه بر این ، NCSC توصیه های خود را در مورد فعالیت های APT با هدف قرار دادن سرورهای حساس VPN به روز کرد و پیوندی را برای افشای ما فراهم کرد. از NCSC متشکریم که به ما در اطلاع رسانی سازمان هایی که از این مسئله در انگلیس تحت تأثیر قرار گرفته اند ، کمک می کنیم
روز یکشنبه ، 13 اکتبر 2019 ، ماهواره های عزیز ما از دو نمونه خدمات وب آمازون EC2 ، سرورهای حساس Pulse Secure VPN را بررسی کردند.
با بررسی سرورهای Pulse Secure VPN مستعد CVE-2019-11510 ، اسکن انبوه از 15.188.47.240 (🇫🇷) شناسایی شد. #threatintel https://t.co/rKtB07LqPKolas19659043 dashur— گزارش بسته های بد (bad_packets) 14 اکتبر 2019
در هر دو مورد این میزبان ها از CVE- 2019-11510 برای بارگیری "/ etc / passwd" از سرورهای هدف.
روز چهارشنبه ، 16 اکتبر 2019 ، CERT / CC یک راهنمای و جدول زمانی از وقایع خاص مربوط به CVE-2019-11510 را منتشر کرد که مربوط به افشای ما بود. از CERT / CC متشکریم که به سازمانهای تحت تأثیر این مسئله اطلاع می دهید. آژانس امنیت سایبری و امنیت زیرساخت (CISA) همچنین راهنمائی را منتشر کرد که در آن نقاط ضعف موجود در سرورهای Pulse Secure VPN را خلاصه می کند و از مدیران خواسته است تا بروزرسانی های لازم را انجام دهند.
روز چهارشنبه ، 6 نوامبر 2019 ، ماهواره های عزیز ما اسکن انبوه فرصت طلبانه را از سرویس وب وب آمازون EC2 بررسی کردند و سرورهای Pulse Secure VPN مستعد CVE-2019-11510 را بررسی کردند.
⚠️ 45 1945
اسکن گسترده از 52.91.255.126 (🇺🇸) شناسایی شده حمله به سرورهای Pulse Secure VPN. [19659032] پاسخ به این اسکن نشان می دهد كه آیا سرور از نسخه Pulse Connect Secure كه مستعد CVE-2019-11510 است استفاده می كند (https://t.co/lXcedIyQSB). موفق19459010 را می توان از این نسخه استفاده كرد. com / Of6ZSTZ6oG– گزارش در مورد بسته های نادرست (bad_packets) 7 نوامبر 2019
روز دوشنبه ، 16 دسامبر 2019 ، ماهواره های عزیز ما یک اسکن انبوه فرصت طلب از خدمات وب آمازون Instance Web2 EC2 در آلمان را بررسی کردند. ، سرورهای Pulse Secure VPN مستعد CVE-2019-11510 هستند.
اسکن انبوه از 18.194.139.142 شناسایی شده است (use) تلاش برای استفاده از سرورهای Pulse Secure VPN مستعد خواندن غیرمجاز هر پرونده (CVE -2019-11510) که منجر به افشای رمزهای عبور کاربر و کلیدهای خصوصی می شود. #threatintel pic.twitter.com/QreB9BUPfv
– گزارش بسته های نادرست (bad_packets) 16 دسامبر 2019 [19659005] سه شنبه 7 ژانویه 2020 اسکن گسترده ای فرصت طلبانه از چندین میزبان Linode در حال بررسی سرورهای Pulse Secure VPN مستعد CVE-2019-11510.
فعالیت اسکن انبوه از سال 173.255.200.120 (بررسی) برای سرورهای Pulse Secure VPN شناسایی شد.
پاسخ ها به این اسکن نشان می دهد که آیا سرور از نسخه ایمنی Pulse Connect Secure مستعد CVE-2019-11510 استفاده می کند (https://t.co/lXcedIyQSB).ociation19459010 ngjashme#threatintel pic.twitter.com/oCUC3w JlCL
– گزارش در مورد بسته های نادرست (bad_packets) 7 ژانویه 2020
جمعه ، 10 ژانویه ، 2020 ، CISA هشداری را در مورد استفاده بیشتر از CVE-2019-11510 منتشر کرد و از سازمان های آسیب دیده خواست تا وصله خود را صادر کنند. سرورهای Pulse Secure VPN برای نسخه های دائمی.
نتایج هفتگی اسکن CVE-2019-11510
از یکشنبه ، 8 سپتامبر 2019 تا دوشنبه ، 9 سپتامبر 2019 ، یک دور دیگر CVE -2019-11510 را انجام دادیم و در آن اسکن می کنیم. 9،002 سرور VPN Pulse Secure در سراسر جهان به خطر می افتد.
روز دوشنبه ، 16 سپتامبر 2019 ، ما در جستجوی آسیب پذیری اسکن های اضافی CVE-2019-11510 را انجام دادیم و 7،712 آسیب پذیری در حملات Pulse Secure VPN سرور پیدا کردیم.
روز دوشنبه 23 سپتامبر 2019 ، اسکن های هفتگی CVE-2019-11510 را به اتمام رساندیم و 7،081 سرور آسیب پذیر Pulse Secure VPN پیدا کردیم.
روز دوشنبه ، 30 سپتامبر سال 2019 ، اسکن های هفتگی اسکن را به اتمام رساندیم و 6527 سرور آسیب پذیر Pulse Secure VPN پیدا کردیم.
روز دوشنبه 7 اکتبر 2019 ، هفتگی اسکن های CVE-2019-11510 را به اتمام رساندیم و 6018 سرویس دهنده آسیب پذیر Pulse Secure VPN پیدا کردیم.
روز دوشنبه ، 14 اکتبر 2019 ، ما اسکن های هفتگی CVE-2019-11510 را به پایان رساندیم و دریافتیم که 5640 سرور VPN Pulse Secure در سراسر جهان آسیب پذیر هستند .
روز دوشنبه ، 21 اکتبر 2019 ، نهمین دور خود را اسکن های CVE-2019-11510 به پایان رساندیم و 5 هزار و 285 سرور آسیب پذیر Pulse Secure VPN را در سرتاسر جهان کشف کردیم.
در روز دوشنبه ، 28 اکتبر 2019 ، ما [10] [دهم] دهمین دور را بررسی کردیم و 5080 سرور Pulse Secure VPN را آسیب پذیر در برابر CVE-2019-11510 تشخیص دادیم.
روز دوشنبه ، چهارم نوامبر 2019 ، ما یازدهمین دور یازدهمین دور را انجام دادیم و 4889 سرور آسیب پذیر Pulse Secure VPN پیدا کردیم. [19659032] روز دوشنبه ، 11 نوامبر 2019 ، ما دور the دوازدهم روز بعد از شناسایی آسیب پذیری ها را انجام دادیم ، مشخص شد که 4716 سرور VPN Pulse Secure در سراسر جهان به خطر می افتد.
روز دوشنبه ، 18 نوامبر 2019 ، ما سیزدهمین دور اسکن های آسیب پذیری خود را انجام دادیم و 4538 سرور Pulse Secure VPN را در سراسر جهان برای سازش شناسایی کردیم.
در روز جمعه ، 29 نوامبر 2019 ، ما چهاردهمین دور اسکن های آسیب پذیری را انجام دادیم و دریافتیم که 4299 سرور Pulse Secure VPN در سراسر جهان به خطر می افتند.
روز جمعه ، 6 دسامبر در سال 2019 ، پانزدهمین دور اسکن های آسیب پذیری را انجام دادیم و دریافتیم که 4،182 سرور Pulse Secure VPN در سراسر جهان به خطر می افتند.
در روز جمعه 13 دسامبر 2019 ، ما [شانزدهمیندور ما را از اسکن های آسیب پذیری انجام دادیم و سرورهای 4021 Pulse Secure VPN را در سراسر جهان شناسایی کردیم که آسیب پذیر هستند.
روز جمعه ، 20 دسامبر 2019 ، ما هفدهمین دوره vu را پس از اسکن برای دوام ، انجام دادیم ، متوجه شدیم که 3905 سرور VPN Pulse Secure در سراسر جهان به خطر می افتد.
روز جمعه ، 27 دسامبر 2019 ، ما اسکن های آسیب پذیری هجدهمین دوره خود را انجام دادیم و دریافتیم که سرورهای 3826 Pulse Secure VPN در سراسر جهان در برابر سازش در معرض خطر قرار دارند.
روز جمعه ، 3 ژانویه سال 2020 ، ما اسکن های آسیب پذیری نوزدهم خود را انجام دادیم و دریافتیم که 3،825 سرور VPN Pulse Secure VPN در سراسر جهان به خطر می افتند.
روز جمعه ، 10 ژانویه در سال 2020 ، ما بیستم را بررسی کردیم و متوجه شدیم که 3623 سرور VPN Pulse Secure VPN در سراسر جهان به خطر می افتد.
نحوه گزارش ما CVE-2019-11510
آخرین نتایج اسکن آسیب پذیری CVE-2019 -11510 ما برای تیم های مجاز CERT ، CSIRT و ISAC برای بررسی در دسترس است. درخواست خود را از اینجا ارسال کنید و کشور ، ASN یا نام دامنه حوزه انتخابیه خود را ارائه دهید.
