26/10/21
Целый ряд кибервымогательских группировок стали эксплуатировать уязвимость нулевого дня в EntroLink VPN после публикации на хакерском форуме эксплоита в сентябре 2021 года.
Уязвимость затрагивает устройства EntroLink PPX-AnyLink, популярные в южнокорейских компаниях и использующиеся в качестве шлюзов для аутентификации пользователей и VPN, которые обеспечивают сотрудникам удаленный доступ к сетям и внутренним ресурсам их компаний.
Эксплоит для уязвимости был опубликован 13 сентября. Изначально он продавался на другом форуме за $50 тыс., но затем был опубликован бесплатно администратором нового киберпреступного форума в качестве промо-акции с целью привлечения киберпреступников.
Согласно публикации на форуме, уязвимость все еще не исправлена. Эксплоит использует сетевой протокол и позволяет удаленно выполнить код с привилегиями суперпользователя на устройствах PPX-AnyLink.
В публикации уязвимость описывается как проблема с подтверждением подлинности входных данных. Эксплоит является полностью автономным и позволяет скомпрометировать устройство за считанные секунды.
После публикации эксплоитом предположительно вооружились участники партнерских программ BlackMatter и LockBit.
По данным исследователей безопасности Аллана Лиски (Allan Liska) и Pancak3 , уязвимость в EntroLink PPX-AnyLink является 54-й уязвимостью нулевого дня, эксплуатирующейся кибервымогательскими группировками.
