Los atacantes han
tenido acceso a tres claves privadas y a configuraciones de algunos de sus
servidores.
La filtración se hizo
pública en un hilo de Twitter en el que NordVPN promocionaba sus servicios. En
respuesta al ‘tweet’ de la compañía, otro usuario publicaba un enlace a un
archivo de texto correspondiente a un fichero de ‘log’ que evidenciaba el robo
de información.
El mismo fichero
contenía varios ficheros de configuración del software OpenVPN utilizado para
proporcionar sus servicios, además de certificados y tres claves privadas.
Dos de las claves RSA
correspondían a la configuración de OpenVPN y otra a un certificado ya expirado
de tipo ‘wildcard‘ de su dominio.
Aunque las claves filtradas no
permiten descifrar el tráfico VPN almacenado y la implementación de
‘forward-secrecy’ en OpenVPN garantiza la seguridad de las claves utilizadas
anteriormente, debemos asumir que el atacante tuvo acceso al tráfico durante el
ataque. Estas claves además podrían ser utilizadas para realizar ataques ‘man-in-the-middle’.
NordVPN ha confirmado
que la brecha se produjo en uno de sus centros de datos en Finlandia en marzo
de 2018. El atacante logró explotar una vulnerabilidad en uno de los sistemas
de control remoto utilizados por el proveedor y consiguió la información antes
expuesta (no se revelaron usuarios ni contraseñas).
El incidente también
ha afectado a otros proveedores que utilizaban el mismo centro de datos, como
VikingVPN y TorGuard.
En este caso,
TorGuard ha sido el único que no se ha visto afectado ya que su clave CA
principal estaba almacenada fuera del servidor vulnerado.
NordVPN afirma que es
un caso aislado y que ningún otro centro de datos se ha visto afectado.
Más información:
·
Why
the NordVPN network is safe after a third-party provider breach https://nordvpn.com/es/blog/official-response-datacenter-breach/
·
Why
TorGuard’s Network is Secure After an Isolated 2017 Server Breach https://torguard.net/blog/why-torguards-network-is-secure-after-an-isolated-2017-server-breach/
Fuente: Hispasec