Governo dos EUA alerta para falha crítica em serviço de VPN corporativa
Por Felipe Demartini | Editado por Claudio Yuge | 22 de Novembro de 2021 às 20h20
Mais uma semana começando e mais um alerta crítico do FBI quanto à existência de falhas zero-day em utilização por agentes maliciosos. A bola da vez são três serviços de VPN da FatPipe Networks, focados no mercado corporativo, e que estavam sendo utilizados para entrega de ataques focados a escalar privilégios para, na sequência, roubar dados ou iniciar golpes envolvendo ransomware.
- Confira 3 casos inusitados de ataques ransomware em diferentes instituições
- Aumentam empresas e recompensas para hackers que caçam falhas em sistemas
De acordo com o relato do governo americano, três sistemas foram usados em explorações: o WARP, MPVPN e IPVPN. As plataformas da FatPipe são usadas em corporações para garantir segurança, velocidade e redundância, mas nas mãos dos criminosos, serviram para o lançamento de golpes difíceis de serem detectados por sistemas de segurança tradicionais, enquanto eram capazes de se movimentar lateralmente pelas redes.
A partir de um webshell, os criminosos seriam capazes de obter acesso com privilégios de administrador, enquanto scripts de limpeza removiam traços de comprometimento que poderiam ser notados em análises de segurança. O FBI não deu detalhes sobre as corporações atingidas nem o modo de operação dos atacantes, afirmando apenas que os usuários das plataformas da FatPipe devem atualizar seus sistemas imediatamente para as versões mais recentes.
Além disso, o alerta oficial traz dicas de melhores práticas de segurança que poderiam ter evitado ataques mesmo em sistemas vulneráveis. O mesmo também vale para a própria FatPipe, que em comunicado, disse que o problema estava nos mecanismos de validação de certas solicitações em HTTP, que poderiam ser modificadas para entregar pragas a dispositivos acessados, abrindo portas que, mais tarde, poderiam ser usadas em golpes remotos.
O FBI também não deu detalhes sobre o grupo criminoso responsável pelos ataques, com o relatório oficial indicando que apenas um está envolvido nos ataques detectados. A agência também pede que eventuais atingidos entrem em contato com as autoridades locais para investigações sobre possíveis comprometimentos de dados ou redes internas.