CISA ordena a las agencias federales que parcheen los servidores de Exchange en medio de un incendio de ciberataque - Calendae | Informática, Electrónica, CMS, Ciberseguridad

CISA ordena a las agencias federales que parcheen los servidores de Exchange en medio de un incendio de ciberataque

Hola, ¿qué tal colega?. En el teclado Eduardo Arroyo y hoy te voy a hablar sobre CISA ordena a las agencias federales que parcheen los servidores de Exchange en medio de un incendio de ciberataque

CISA ordena a las agencias federales que parcheen los servidores de intercambio

Los ataques de espionaje que aprovechan los errores de seguridad de ejecución remota de código recientemente modificados en los servidores de Microsoft Exchange se están propagando rápidamente.

A raíz del anuncio de Microsoft sobre las campañas activas de ciberespionaje que están explotando cuatro graves vulnerabilidades de seguridad en Microsoft Exchange Server, el gobierno de EE. UU. Ha aplicado parches para los problemas.

La noticia se produce cuando las empresas de seguridad informan sobre un número creciente de campañas relacionadas dirigidas por sofisticados adversarios contra una variedad de objetivos de alto valor, especialmente en los Estados Unidos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una directiva de emergencia, advirtiendo que sus socios han observado la explotación activa de errores en los productos locales de Microsoft Exchange, que permiten a los atacantes tener «acceso persistente al sistema y control de la red de una empresa».

«CISA ha determinado que esta explotación de los productos locales de Microsoft Exchange representa un riesgo inaceptable para las agencias del poder ejecutivo civil federal y requiere una acción de emergencia», dice el Alerta 3 de marzo. «Esta determinación se basa en la explotación actual de estas vulnerabilidades en la naturaleza, la probabilidad de que se exploten las vulnerabilidades, la prevalencia del software afectado en la empresa federal, el alto potencial de compromiso de los sistemas de información de la agencia y el impacto potencial de un compromiso exitoso «.

A principios de esta semana, Microsoft dijo que había detectado múltiples exploits de día cero en circulación que se usaban para atacar versiones locales de Microsoft Exchange Server, lo que provocó que lo lanzara. parches fuera de banda.

Los errores explotados se rastrean como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Cuando están encadenados, permiten la omisión de autenticación remota y la ejecución remota de código. Según el gigante cibernético, los adversarios pudieron iniciar sesión en cuentas de correo electrónico, robar una variedad de datos y lanzar malware en las computadoras de destino para un acceso remoto a largo plazo.

Los ataques fueron llevados a cabo en parte por una Amenaza Persistente Avanzada (APT) vinculada a China llamada Hafnium, dijo Microsoft, pero muchas otras compañías de seguridad han observado ataques de otros grupos y contra una amplia gama de objetivos.

Los investigadores de Huntress Labs, por ejemplo, dijeron a Threatpost que sus investigadores han descubierto más de 200 shells web repartidos en miles de servidores vulnerables (con antivirus y detección / recuperación de endpoints instalados) y esperan que ese número continúe aumentando.

«El equipo está buscando organizaciones de todas las formas y tamaños involucradas, incluidas las compañías eléctricas, los gobiernos locales / provinciales, los profesionales de la salud y los bancos / instituciones financieras, así como pequeños hoteles, múltiples comunidades de personas mayores y otras empresas medianas. Mercado», dijo un portavoz de Huntress a Threatpost.

Mientras tanto, los investigadores de ESET tuitearon que CVE-2021-26855 estaba siendo explotado activamente en la naturaleza por al menos tres APTS además de Hafnium.

«Entre ellos, hemos identificado #LuckyMouse, #Tick, #Calypso y algunos clústeres adicionales sin clasificar», tuiteó, y agregó que si bien la mayoría de los ataques son contra objetivos en Estados Unidos, «hemos visto ataques a servidores en Europa». Asia y Oriente Medio «.

La mayoría de los objetivos se encuentran en Estados Unidos, pero hemos visto ataques a servidores en Europa, Asia y Oriente Medio. Las verticales objetivo incluyen gobiernos, bufetes de abogados, empresas privadas e instalaciones médicas. 3/5 pic.twitter.com/kwxjYPeMlm

– Búsqueda de ESET (@ESETresearch) 2 de marzo de 2021

CISA requiere que las agencias federales tomen varias medidas a la luz de la propagación de los ataques.

Primero, deben realizar un inventario completo de todos los servidores de Microsoft Exchange locales en sus entornos y luego realizar un análisis forense para identificar cualquier compromiso existente. Cualquier compromiso debe informarse a CISA para su reparación.

La fase forense incluye la recopilación de «memoria del sistema, registros web del sistema, registros de eventos de Windows y todas las colmenas del registro. Las agencias deben examinar los artefactos en busca de indicios de compromiso o comportamiento anormal, como el vertido de credenciales y otras actividades».

Si no se encuentran indicadores de compromiso, las agencias deben reparar de inmediato, agregó CISA. Y si las agencias no pueden aplicar parches de inmediato, deben desconectar sus servidores de Microsoft Exchange.

También se les pidió a todas las agencias que presentaran un primer informe antes del viernes sobre su situación actual.

«[This] destaca la creciente frecuencia de ataques orquestados por los estados nacionales «, dijo Steve Forbes, experto en ciberseguridad gubernamental de Nominet, por correo electrónico.» El papel cada vez mayor de las agencias gubernamentales en el liderazgo de una respuesta coordinada a los ataques. La directiva CISA. nivel de exposición, aplicar arreglos de seguridad o desconectar el programa es la última de una serie de directivas de emergencia cada vez más regulares que la agencia ha emitido desde que se estableció hace dos años. Estas demuestran la necesidad de estas medidas nacionales coordinadas de protección para mitigar de manera eficiente y efectiva los efectos de los ataques que podrían tener importantes implicaciones para la seguridad nacional «.

.

No te olvides compartir en una historia de tu Instagram para que tus colegas lo vean

??? ? ? ???

Comparte