Le détaillant Monsoon aurait exposé des données via le serveur Pulse Connect

Une version non patchée de Pulse Connect Secure VPN met les données de milliers de clients et de personnel au détaillant Monsoon Accessorize à risque de compromis, et l’entreprise est prétendument ignorer les tentatives de le divulguer de manière responsable.

C’est selon le chercheur Jan Youngren de VPNPro, qui a constaté que le détaillant utilisait une ancienne version de Pulse Connect Secure VPN qui a une vulnérabilité critique permettant potentiellement aux cybercriminels de voir tous les utilisateurs actifs sur son VPN, ainsi que leurs mots de passe en texte brut.

Ces informations pourraient en théorie être utilisées pour accéder à des serveurs pour exfiltrer les données de la victime, déployer des logiciels malveillants ou ransomware, ou effectuer un certain nombre d’autres actions malveillantes.

La vulnérabilité CVE-2019-11510 a été divulguée pour la première fois en avril 2019 et est la même question par laquelle Travelex a été compromis par le syndicat du crime ransomware ReVIL/Sodinokibi en janvier 2020. Il est considéré comme critique, mais les correctifs sont disponibles chez Pulse Secure depuis plus de 12 mois.

Youngren a dit qu’il était en mesure d’accéder aux fichiers internes de Monsoon, y compris les informations des clients, documents d’affaires sensibles, les ventes et les chiffres de revenus et plus encore.

Son équipe a exploité la vulnérabilité pour extraire des données de session à l’aide d’une URL spécifiquement conçue dans le panneau client du VPN, sans authentification. Ils ont ensuite exécuté un script pour importer les données de session et ont tenté d’accéder au portail VPN avec les ID de session donnés.

En les surveillant pour trouver des sessions actives, ils ont ensuite pu importer l’ID comme cookie du navigateur et accéder au panneau en tant qu’utilisateur spécifique. Ils ont ensuite gratté des informations pour confirmer que les fichiers sont lisibles, qu’ils avaient accès à l’écriture, et pour comprendre la portée de la vulnérabilité.

Youngren a noté que la limitation de la vulnérabilité est qu’elle a besoin d’autorisations d’utilisateur élevées pour exécuter une attaque plus large.

Les données trouvées comprenaient une liste de noms d’utilisateur et de mots de passe hachés par les employés, des détails d’administration cryptés, des détails de connexion VPN et des cookies de session, des données de vente quotidiennes, des minutes de réunions internes, des actifs de renseignements commerciaux et d’autres documents internes, les noms et autres détails de 45 000 clients Monsoon, et des données sur environ 650 000 numéros de carte de récompense et de bons.

« Le plus grand risque d’avoir cette vulnérabilité est que les pirates peuvent verrouiller les serveurs avec ransomware, similaire à ce qui s’est passé avec Travelex », a écrit Youngren.

« Dans ce scénario, toutes les opérations liées ou dépendantes des informations contenues dans ces serveurs cesseraient jusqu’à ce que la situation soit résolue. Cela pourrait être très coûteux pour Monsoon, en fonction du prix que les pirates facturent, ou ils peuvent employer des alternatives qui, dans tous les cas, prendrait des jours ou des semaines à fixer.

Les mauvais acteurs pourraient également voler et vendre sur les données de l’entreprise et des clients, profiter des codes de bons et des cartes de récompense, des mots de passe de force brute pour les serveurs de protocole de bureau à distance (RDP) et accéder à des serveurs sensibles, et attaquer les boutiques en ligne de Monsoon pour installer des écumeurs de carte de crédit.

Il est inquiétant de constater que Youngren a allégué que Monsoon avait ignoré ou rejeté les tentatives de VPNPro de communiquer avec elle pour qu’elle divulgue de façon responsable.

« À partir du 28 mai, nous avons tenté de contacter Monsoon par courriel, y compris deux courriels de suivi. Ensuite, nous avons tenté de les joindre sur leur entreprise Twitter à partir du 29 mai, mais nous n’avons reçu aucune réponse.

« près cela, nous avons essayé de les appeler en utilisant deux numéros de téléphone répertoriés sur leurs sites Web, mais en vain. Enfin, nous avons contacté le National Cyber Security Centre (NCSC) du Royaume-Uni le 3 juin, qui s’occupe des questions de cybersécurité et peut aider à mettre en contact des pirates éthiques avec les fournisseurs. Cependant, nous n’avons reçu aucune réponse de leur part non plus.

« Au moment de la publication, la vulnérabilité demeure et nous n’avons reçu aucune réponse de leur côté. »

Les clients du détaillant ne peuvent pas faire plus que surveiller leurs données et être attentifs à tout courriel ou tentative de contact d’apparence suspecte.

Computer Weekly a contacté Monsoon pour obtenir la confirmation des conclusions de Youngren et des éclaircissements sur la réponse de l’entreprise, mais les contacts de presse de l’entreprise n’avaient pas répondu à nos approches au moment de la publication. Nous avons également contacté le NCSC, mais l’organisation a refusé de répondre à des questions spécifiques sur l’incident.

Monsoon est entré en administration en Juin 2020 à la suite d’être forcé de fermer sa succession pendant le verrouillage, mais a été racheté par son fondateur Peter Simon dans ce qui est connu comme un accord pré-pack. Un certain nombre de magasins risquent toujours d’être fermés et plus de 500 employés risquent d’être licenciés, tandis que les créanciers du détaillant doivent plus de 132 millions d’euros.