Una versión sin parches de Pulse Connect Secure VPN está poniendo los datos de miles de clientes y personal en el minorista Monzón de accesorios en riesgo de compromiso, y la firma presuntamente está ignorando los intentos de divulgarlo de manera responsable.
Esto es según el investigador Jan Youngren de VPNPro, que descubrió que el minorista estaba usando una versión antigua de Pulse Connect Secure VPN que tiene una vulnerabilidad crítica que permite a los ciberdelincuentes ver a cualquier usuario activo en su VPN, así como sus contraseñas de texto sin formato.
En teoría, esta información podría usarse para obtener acceso a los servidores para exfiltrar los datos de la víctima, implementar malware o ransomware o realizar cualquier cantidad de otras acciones maliciosas.
La vulnerabilidad CVE-2019-11510 se reveló por primera vez en abril de 2019 y es el mismo problema por el cual Travelex fue comprometido por el sindicato del crimen de ransomware ReVIL / Sodinokibi en enero de 2020. Está calificado como crítico, pero se han corregido soluciones de Pulse Secure durante más de 12 meses.
Youngren dijo que pudo obtener acceso a los archivos internos de Monsoon, incluida la información del cliente, documentos comerciales confidenciales, cifras de ventas e ingresos y más.
Su equipo aprovechó la vulnerabilidad para extraer datos de la sesión utilizando una URL diseñada específicamente en el panel del cliente de la VPN, sin autenticación. Luego ejecutaron un script para importar los datos de la sesión e intentaron acceder al portal VPN con los ID de sesión dados.
Al monitorearlos para encontrar sesiones activas, pudieron importar el ID como una cookie del navegador y acceder al panel como ese usuario específico. Luego, recopilaron información para confirmar que los archivos son legibles, que tenían acceso de escritura y para comprender el alcance de la vulnerabilidad.
Youngren señaló que la limitación de la vulnerabilidad es que necesita permisos de usuario elevados para ejecutar un ataque más amplio.
Los datos encontrados incluían una lista de nombres de usuario de empleados y contraseñas hash, detalles de administración encriptados, detalles de inicio de sesión de VPN y cookies de sesión, datos de ventas diarias, actas de reuniones internas, activos de inteligencia empresarial y otros documentos internos, los nombres y otros detalles de 45,000 clientes de Monsoon. y datos sobre unos 650.000 números de tarjetas de recompensa y vales.
«El mayor riesgo de tener esta vulnerabilidad es que los piratas informáticos pueden bloquear los servidores con ransomware, similar a lo que sucedió con Travelex», escribió Youngren.
“En ese escenario, cualquier operación relacionada o dependiente de la información contenida en estos servidores se detendría hasta que se resolviera la situación. Esto podría ser muy costoso para Monsoon, dependiendo del precio que cobren los piratas informáticos, o pueden emplear alternativas que, en cualquier caso, tomarían días o semanas para arreglar ”.
Los malos actores también podrían robar y vender datos comerciales y de clientes, aprovechar los códigos de cupón y las tarjetas de recompensa, las contraseñas de fuerza bruta para servidores de protocolo de escritorio remoto (RDP) y acceder a servidores sensibles, y atacar las tiendas en línea de Monsoon para instalar skimmers de tarjetas de crédito. .
De manera preocupante, Youngren alegó que Monsoon había ignorado o rechazado los intentos de VPNPro de contactarlo para revelar de manera responsable.
“A partir del 28 de mayo, intentamos contactar a Monsoon por correo electrónico, incluidos dos correos electrónicos de seguimiento. Luego, intentamos comunicarnos con ellos en el Twitter de su empresa a partir del 29 de mayo, pero no recibimos respuesta.
“Después de eso, intentamos llamarlos usando dos números de teléfono que figuran en sus sitios web, pero fue en vano. Finalmente, contactamos con el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido el 3 de junio, que se ocupa de los problemas de seguridad cibernética y puede ayudar a que los piratas informáticos éticos se pongan en contacto con los proveedores. Sin embargo, tampoco recibimos respuesta de ellos.
«En el momento de la publicación, la vulnerabilidad persiste y no hemos recibido respuesta de su parte».
Los clientes del minorista pueden hacer poco más que monitorear sus datos y estar alertas a cualquier correo electrónico o intentos de contacto sospechosos.
Computer Weekly se acercó a Monsoon para buscar la confirmación de los hallazgos de Youngren y una aclaración sobre la respuesta de la empresa, pero los contactos de prensa de la empresa no habían respondido a nuestros enfoques en el momento de la publicación. También contactamos al NCSC, pero la organización se negó a responder a preguntas específicas sobre el incidente.
Monsoon entró en administración en junio de 2020 como resultado de verse obligado a cerrar su propiedad durante el cierre, pero fue recomprado por su fundador Peter Simon en lo que se conoce como un acuerdo de preempaque. Varias tiendas siguen en riesgo de cierre y más de 500 empleados corren riesgo de despido, mientras que a los acreedores del minorista se les deben más de 132 millones de libras esterlinas.