FBI: APT explota activamente los agujeros de seguridad de Fortinet VPN - Calendae | Informática, Electrónica, CMS, Ciberseguridad

FBI: APT explota activamente los agujeros de seguridad de Fortinet VPN

Hola, un placer verte por aquí. Te escribe Eduardo Arroyo y hoy te voy a hablar sobre FBI: APT explota activamente los agujeros de seguridad de Fortinet VPN

FBI: APT explota activamente los agujeros de seguridad de Fortinet VPN

Se utilizan tres vulnerabilidades de seguridad en Fortinet SSL VPN para afianzarse dentro de las redes antes de moverse hacia los lados y realizar el reconocimiento.

El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad advierten que los actores del estado-nación APT (amenaza persistente avanzada) están explotando activamente vulnerabilidades de seguridad conocidas en el sistema operativo de ciberseguridad Fortinet FortiOS, lo que afecta los productos VPN SSL de la compañía.

Según una advertencia emitida el viernes por el FBI y CISA, los ciberataques están escaneando dispositivos en los puertos 4443, 8443 y 10443, en busca de implementaciones de seguridad de Fortinet sin parches. En particular, las APT aprovechan CVE-2018-13379, CVE-2019-5591 y CVE-2020-12812.

«Es probable que los actores de APT busquen estas vulnerabilidades para obtener acceso a múltiples redes de servicios gubernamentales, comerciales y tecnológicos», según la noticia. «Los actores de APT históricamente han explotado vulnerabilidades críticas para realizar ataques de denegación de servicio distribuido (DDoS), ataques de ransomware, ataques de lenguaje de consulta estructurado (SQL), campañas de spear phishing, desfiguración de sitios web y campañas de desinformación».

El error rastreado como CVE-2018-13379 es un problema de recorrido de ruta en Fortinet FortiOS, donde el portal web SSL VPN permite a un atacante no autenticado descargar archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas.

El CVE-2019-5591 La falla es una vulnerabilidad de configuración predeterminada en FortiOS que podría permitir que un atacante no autenticado en la misma subred intercepte información confidencial haciéndose pasar por el servidor LDAP.

Y finalmente, CVE-2020-12812 es una vulnerabilidad de autenticación incorrecta en SSL VPN en FortiOS, que podría permitir que un usuario inicie sesión correctamente sin que se le solicite el segundo factor de autenticación (FortiToken) si cambia el caso de su nombre de usuario.

«Los atacantes están apuntando a aplicaciones externas cada vez más críticas; las VPN han sido atacadas aún más el año pasado», dijo Zach Hanley, ingeniero senior del equipo rojo de Horizon3.AI, en un correo electrónico. «Estas tres vulnerabilidades dirigidas a Fortinet VPN permiten a un atacante obtener credenciales válidas, eludir la autenticación multifactor (MFA) y el tráfico de autenticación man-in-the-middle (MITM) para interceptar las credenciales».

Hanley agregó: «El tema común aquí es: una vez que tengan éxito, se verán como sus usuarios habituales».

Los errores son populares entre los ciberataques en general, debido a la presencia generalizada de Fortinet, anotaron los investigadores.

«CVE-2018-13379 es una vulnerabilidad crítica en Fortinet FortiOS SSL VPN que ha sido favorecida por los ciberdelincuentes desde que los detalles del exploit se hicieron públicos en agosto de 2019», dijo el ingeniero de investigación Satnam Narang por correo electrónico del personal de Tenable. «De hecho, la retrospectiva del panorama de amenazas de Tenable 2020 lo colocó entre nuestras 5 principales vulnerabilidades de 2020 porque vemos que los actores de amenazas continúan explotándolo en la naturaleza, más de un año después de su primera divulgación».

El FBI y CISA no han especificado qué APT están organizando la actividad reciente.

Compromiso y reconocimiento inicial

Una vez explotados, los atacantes se mueven de lado y reconocen los objetivos, dicen las autoridades.

«Los actores de APT podrían usar cualquiera o todos estos CVE para obtener acceso a redes en múltiples sectores de infraestructura crítica para obtener acceso a redes clave como un pre-posicionamiento para la subsiguiente exfiltración de datos o ataques de cifrado de datos», explicó la advertencia. «Los actores de APT pueden usar otros CVE o técnicas de explotación comunes, como el spear-phishing, para obtener acceso a redes de infraestructura crítica y prepararse para ataques posteriores».

El aviso de ciberseguridad conjunto del FBI y CISA sigue a la oleada de advertencias del año pasado de las agencias estadounidenses sobre los grupos de APT que utilizan vulnerabilidades sin parches para atacar a las agencias federales y organizaciones comerciales. Por ejemplo, en octubre se emitió una advertencia de que las APT estaban usando fallas en tecnologías VPN obsoletas de Fortinet, Palo Alto Networks y Pulse Secure para realizar ataques cibernéticos a objetivos en los Estados Unidos y en el extranjero.

«No es ninguna sorpresa ver vulnerabilidades adicionales de Fortinet FortiOS como CVE-2019-5591 y CVE-2020-12812 agregadas a la lista de fallas conocidas, pero sin parchear, explotadas por estos actores de amenazas», dijo Narang. “En los últimos años, las vulnerabilidades de SSL VPN han sido un objetivo atractivo tanto para los grupos APT como para los ciberdelincuentes. Con el cambio al trabajo remoto y la creciente demanda de VPN SSL como Fortinet y otras, la superficie de ataque y los objetivos disponibles se han expandido. Las organizaciones deben tomar en serio esta advertencia y priorizar el parcheo inmediato de sus dispositivos Fortinet si aún no lo han hecho. «

El FBI y CISA sugieren una serie de mejores prácticas para ayudar a las organizaciones a contrarrestar estos y otros ataques:

  • Parchee inmediatamente CVE 2018-13379, 2020-12812 y 2019-5591.
  • Si su organización no utiliza FortiOS, agregue los archivos de artefactos clave utilizados por FortiOS a la lista de denegación de ejecución de su organización. Debe evitarse cualquier intento de instalar o ejecutar este programa y los archivos asociados.
  • Realice regularmente copias de seguridad de sus datos, espacios de aire y copias de seguridad protegidas con contraseña fuera de línea. Asegúrese de que no se pueda acceder a copias de datos críticos para su modificación o eliminación desde el sistema principal donde residen los datos.
  • Implementar la segmentación de la red.
  • Solicite credenciales de administrador para instalar el software.
  • Implemente un plan de recuperación para restaurar datos confidenciales o patentados desde una ubicación segura, segmentada y físicamente separada (por ejemplo, disco duro, dispositivo de almacenamiento, nube).
  • Instale actualizaciones / parches de SO, software y firmware tan pronto como se publiquen las actualizaciones / parches.
  • Utilice la autenticación multifactor siempre que sea posible.
  • Cambie periódicamente las contraseñas de los sistemas y las cuentas de red y evite reutilizar las contraseñas de diferentes cuentas. Implemente el período de tiempo más corto aceptable para los cambios de contraseña.
  • Desactive los puertos de acceso remoto / Protocolo de escritorio remoto (RDP) no utilizados y supervise los registros de acceso remoto / RDP.
  • Verifique las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta los privilegios mínimos.
  • Instale y actualice periódicamente software antivirus y antimalware en todos los hosts.
  • Considere agregar un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su organización.
  • Deshabilite los hipervínculos en los correos electrónicos recibidos.
  • Centrarse en la sensibilización y la formación. Brindar capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, en particular sobre el reconocimiento y la prevención de correos electrónicos de phishing.
  • 21 de abril: (¡Obtenga más información y regístrese!)

.

No te olvides compartir en tu Facebook para que tus amigos lo vean

??? ? ? ???

Comparte