NSA: 5 errores de seguridad bajo ciberataque activo de un estado nacional - Calendae | Informática, Electrónica, CMS, Ciberseguridad

NSA: 5 errores de seguridad bajo ciberataque activo de un estado nacional

Hola, ¿qué tal colega?. En el teclado Eduardo Arroyo y esta vez te voy a contar sobre NSA: 5 errores de seguridad bajo ciberataque activo de un estado nacional

NSA: 5 errores de seguridad bajo ciberataque activo de un estado nacional

Las plataformas ampliamente distribuidas por Citrix, Fortinet, Pulse Secure, Synacor y VMware están todas en la mira de APT29, con la intención de robar credenciales y más.

Los federales advierten que los actores del estado-nación están nuevamente buscando recursos de EE. UU., Esta vez en una serie de ciberataques que explotan cinco vulnerabilidades que afectan las soluciones VPN, el software de suite de colaboración y las tecnologías de virtualización.

Según la Agencia de Seguridad Nacional de EE. UU. (NSA), que publicó un jueves vigilante, el grupo Advanced Persistent Threat (APT) conocido como APT29 (también conocido como Cozy Bear o The Dukes) está realizando «exploraciones y exploits generalizados contra sistemas vulnerables en un intento por obtener credenciales de autenticación para permitir un mayor acceso».

Los objetivos incluyen las redes de seguridad nacional y del gobierno de Estados Unidos y sus aliados, agregó.

Únase a los expertos de Digital Shadows (Austin Merritt), Malwarebytes (Adam Kujawa) y Sift (Kevin Lee) para descubrir cómo funcionan realmente los foros de ciberdelincuencia. ¡LIBRE! Regístrese haciendo clic en él.

Se conocen los cinco errores bajo ataque activo, los agujeros de seguridad se han solucionado en las plataformas de Citrix, Fortinet, Pulse Secure, Synacor y VMware (que se describen a continuación) que las organizaciones deberían corregir de inmediato, advirtieron los investigadores.

«Algunas de estas vulnerabilidades también tienen módulos Metasploit en funcionamiento y actualmente se están explotando ampliamente», dijeron los investigadores de Cisco Talos en un informe. publicación relacionada el jueves. “Tenga en cuenta que algunas de estas vulnerabilidades explotan aplicaciones que aprovechan SSL. Esto significa que los usuarios deben habilitar el descifrado SSL … para detectar la explotación de estas vulnerabilidades. «

La NSA vinculó APT29 con los servicios de inteligencia extranjeros rusos (SVR). La noticia se produce cuando EE. UU. Atribuyó formalmente el reciente ataque a la cadena de suministro de SolarWinds al SVR y emitió sanciones a Rusia por los ciberataques y lo que el presidente Biden llamó interferencia con las elecciones de EE. UU.

Según la NSA, las siguientes personas están sujetas a ataques generalizados como parte de los esfuerzos de ciberespionaje:

  • CVE-2018-13379 Fortinet FortiGate SSL VPN (cruce de ruta)
  • CVE-2019-9670 Synacor Zimbra Collaboration Suite (XXE)
  • CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN (lectura de archivos arbitrarios)
  • CVE-2019-19781 Citrix Application Delivery Controller y Gateway (Directory Traversal)
  • CVE-2020-4006 VMware Workspace ONE Access (inyección de comandos)

«Las vulnerabilidades en dos sistemas VPN, dos plataformas de virtualización y una solución de colaboración parecen ser una combinación poderosa», dijo a Threatpost Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies. “Cuatro de ellos tienen 12 meses o más, lo que no es una buena señal para la higiene cibernética general en los Estados Unidos, ya que todos están clasificados como severos o incluso críticos en el NVD del NIST. Parece que los adversarios pueden confiar en la falta de diligencia con respecto al control esencial de la seguridad cibernética, más aún en tiempos de pandemia.

Una vulnerabilidad de cruce de directorio en Fortinet FortOS permite a atacantes no autenticados acceder y descargar archivos del sistema mediante el envío de solicitudes de recursos HTTP especialmente diseñadas. «Esto puede llevar al atacante a obtener credenciales de VPN, lo que podría permitir un punto de apoyo inicial en una red de destino», según Cisco Talos.

La NSA explicó que es el resultado de restringir incorrectamente una ruta a un directorio limitado. Afecta a Fortinet FortiOS 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 y 5.4.6 a 5.4.12.

El problema del estado-nación está en curso: a principios de abril, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieron que las APT estaban explotando activamente el error.

Este error es una vulnerabilidad de inyección de entidad externa XML (XXE) en el componente de buzón de correo de Synacore Zimbra Collaboration Suite. Los atacantes pueden usarlo para obtener acceso a credenciales para facilitar su acceso o como punto de apoyo inicial en una red objetivo. Afecta a Synacor Zimbra Collaboration Suite 8.7.x antes de 8.7.11p10.

En Pulse Secure VPN, una falla crítica en la lectura de archivos arbitrarios abre los sistemas a la explotación por parte de atacantes remotos no autenticados que intentan obtener acceso a las redes de una víctima. El atacante puede enviar un URI especialmente diseñado para activar el exploit. Afecta a Pulse Connect Secure (PCS) 8.2 antes de 8.2R12.1, 8.3 antes de 8.3R7.1 y 9.0 antes de 9.0R3.4.

«Los atacantes pueden utilizarlo para acceder a información confidencial, incluidas claves privadas y credenciales», explicaron los investigadores de Cisco Talos.

En abril pasado, el Departamento de Seguridad Nacional (DHS) comenzó a solicitar a las empresas que utilizan Pulse Secure VPN que cambien sus contraseñas para las cuentas de Active Directory, luego de varios ataques cibernéticos dirigidos a empresas que previamente habían corregido un defecto relacionado en la familia VPN.

En ese momento, el DHS advirtió que los atacantes que ya explotaron la falla para robar las credenciales de las víctimas estaban usando esas credenciales para moverse de lado a lado de las organizaciones, haciendo que los parches fueran inútiles.

Luego, en septiembre, un ciberataque exitoso contra una agencia federal anónima se atribuyó a la explotación del error. «Es posible que el actor cibernético haya obtenido credenciales de un servidor VPN de la agencia sin parches al explotar una vulnerabilidad conocida, CVE-2019-11510, en Pulse Secure», según la alerta de CISA en ese momento. «CVE-2019-11510 … permite la recuperación remota y no autenticada de archivos, incluidas las contraseñas. CISA ha experimentado una amplia explotación de CVE-2019-11510 en todo el gobierno federal».

Esta vulnerabilidad crítica de cruce de directorios en Citrix Application Delivery Controller (ADC) y la puerta de enlace que puede permitir la ejecución remota de código. Se reveló por primera vez como de día cero en diciembre de 2019, después de lo cual Citrix implementó parches entre docenas de exploits de prueba de concepto e intentos de explotación que se dispararon.

Afecta a las versiones de Citrix ADC y Gateway anteriores a las versiones 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 y 10.5.70.12 y SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO y 5100-WO antes de la 10.2 .6b y 11.0.3b.

Finalmente, una vulnerabilidad de inyección de comandos en VMWare Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector permite la ejecución de comandos arbitrarios en los sistemas operativos subyacentes. Sin embargo, un exploit exitoso requiere credenciales válidas para la cuenta de administrador del configurador, por lo que debe estar encadenado con otro error para usarlo.

No obstante, la NSA advirtió en diciembre que los adversarios extranjeros se estaban centrando en explotar la falla, a pesar de que los parches se publicaron unos días antes. Los actores estatales estaban usando el error para robar datos seguros y abusar de los sistemas de autenticación compartidos, dijo.

Afecta a VMware One Access 20.01 y 20.10 en Linux, VMware Identity Manager 3.3.1 – 3.3.3 en Linux, VMware Identity Manager Connector 3.3.1 – 3.3.3 y 19.03, VMware Cloud Foundation 4.0 – 4.1 y VMware Vrealize Suite Lifecycle Manager 8 .X.

La NSA ha recomendado varias prácticas recomendadas para proteger a las organizaciones de ataques:

  • Actualice los sistemas y productos lo antes posible después de que se publiquen los parches.
  • Suponga que ocurre una violación; revise las cuentas y aproveche las últimas pautas de desalojo disponibles.
  • Deshabilite las funciones de administración externas y configure una red de administración fuera de banda.
  • Bloquee los protocolos obsoletos o no utilizados en el borde de la red y desactívelos en las configuraciones del dispositivo cliente.
  • Adopte una mentalidad que permita el compromiso: prepárese para las actividades de respuesta a incidentes.

«Si los exploits parcheables conocidos públicamente todavía tienen gas en el tanque, esto es solo una acusación contra la desconexión del status quo entre la comprensión del riesgo de muchas organizaciones y la higiene cibernética básica», Tim Wade, director técnico del equipo de CTO de Vectra, le dijo a Threatpost. «La lamentable realidad es que para muchas organizaciones, la barrera de entrada a su red sigue siendo un pequeño fruto que, por una razón u otra, es difícil de gestionar por completo para las organizaciones».

Añadió: «Esto subraya por qué los líderes de seguridad deben asumir que, a pesar de todas las mejores intenciones de sus colegas técnicos, se producirán compensaciones: su imperativo es detectar, responder y recuperarse de esos eventos para expulsar a los oponentes antes. se producen daños materiales «.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte