Zdroj: BBC, Computer Weekly
Firma Travelex UK oznámila 2.1.2020, že bola zasiahnutá vírusom. Na nákazu prišli na Silvestra 31.12.2019. Vďaka nákaze museli odstaviť svoje systémy a veľa britských bánk hlási nedostupnosť nákupu cudzích mien pre turistov, ktoré firma Travelex zabezpečuje.
Web stránka firmy stále zobrazuje komické oznámenie, že prebieha plánovaná odstávka stránky. Ak je odstávka plánovaná, to by malo znamenať, že plánovali byť na Nový rok napadnutý vírusom? Dosť nepravdepodobné a ľudia im to na ich Facebook stránke dávajú pocítiť.
Obrázok č.1: „Plánovaná“ odstávka
Zdroj: Travelex
Podľa informácie zvnútra firmy boli zasiahnutý ransomvér útokom a zamestnanci majú zakázané o tom hovoriť. Zákazníci zostali v zahraničí bez peňazí na svojich Travelex kartách. Zamestnanci dostali pokyn zapisovať vydávanie hotovosti písomne. Ako je to zvykom pri týchto útokoch, tak návrat do normálu môže trvať dlho.
Hneď sa začalo špekulovať ako sa mohli dostať útočníci do vnútra siete. Mne sa podarilo nájsť exponované servery firmy s RDP na službe BinaryEdge. Ide o 14 serverov Windows Server 2008 R2 firmy Travelex v Austrálii a sú hostované na službe Amazon. Len pripomeniem, že podpora pre túto verziu končí 14.1.2020.
Obrázok č.2: Exponovaný Windows server s RDP
Zdroj: BinaryEdge/incident.sk
Ešte zaujímavejšie bolo zistenie bezpečnostného experta Kevina Beaumonta, že Travelex používa Pulse Secure VPN brány. Ak si pamätáte, tak v podcaste č.34 ešte v júli sme informovali o problémoch VPN brán od Palo Alto, Fortinet a Pulse Secure. V septembri sme spolu s Binary Confidence komentovali pre Denník N problémy Štatistického úradu z ich neaktualizovanými bránami Fortinet.
Obrázok č.3: Travelex Pulse Secure VPN brány
Zdroj: Shodan/incident.sk
Do debaty s Kevinom Beaumontom sa zapojil Troy Mursch z Bad Packets Report, ktorý mu oznámil, že Travelex kontaktoval ešte v septembri. Oznámil im, že majú zraniteľných 7 Pulse Secure zariadení. Firma Travelex vtedy nereagovala. Podľa môjho skenu služieb Shodan aj BinaryEdge, chýbajú oproti emailu zo septembra jeden server z EMEA regiónu a jeden z APAC, ktoré nie sú online.
Obrázok č.4: Troy Mursch reaguje na Kevina Beaumonta
Zdroj: Bad Packets Report/incident.sk
Je zrejmé kde treba hľadať miesto prieniku do siete firmy Travelex. Od augusta existoval verejný Metasploit modul pre atakovanie zariadení Pulse Secure s touto chybou. Na Slovensku sme vtedy mali minimálne 5 zraniteľných zariadení. Dnes už je to nula aj vďaka tomu, že sme v auguste informovali tých, ktorých sme vedeli identifikovať. V Česku sú stále 4 zraniteľné zariadenia Pulse Secure a vo zvyšku sveta 3.825.
Firme Travelex za exponované a o chvíľu neaktuálne RDP servery, za ignorovanie aktualizácií Pulse Secure VPN zariadení a za nevhodnú komunikáciu udeľujeme náš titul fail týždňa.
Obrázok: „A pile of 50 pound notes“ by Images Money, used under CC BY 2.0
