Incremento en campañas que explotan vulnerabilidades de VPN

09 Febrero 2021
Alto

 

Dentro del panorama de amenazas hemos evidenciado un alza en la explotación de vulnerabilidades que tienen relación con las redes privadas virtuales (VPN). Este incremento está fuertemente ligado al uso de las mismas producto de que muchas empresas han implementado el teletrabajo como parte de sus operaciones durante la crisis sanitaria que ya lleva en Chile casi 1 año.

En boletines anteriores hemos advertido respecto a campañas presentes en Latino América que se encuentran activas desde al menos los últimos cuatro años con incidentes esporádicos que buscan explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo.

Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN de las principales marcas.

Lo crítico está en la capacidad disruptiva para el negocio de las organizaciones que logran una vez se encuentran dentro de las redes privadas. Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.

Explotación de VPN

Los actores detrás de estas amenazas tienen como principal objetivo el escalamiento de privilegios, robo de credenciales y datos confidenciales de las organizaciones lo que les permitiría en el caso de una explotación exitosa la inyección de SQL, RCE y hasta llevar a cabo ataques de denegación de servicios (DDoS).

Dentro de las distintas organizaciones y compañías que han visto afectado sus servicios y redes empresariales por este tipo de ataques se destaca Fortinet, Cisco, Pulse Securse y Global Protect de Palo Alto Networks.

Fox Kitten

Esta campaña de malware proveniente de Irán, tuvo sus primeras apariciones en 2017 pero no fue hasta el año 2020 que sus campañas se intensificaron, destacando por ser una de las amenazas latentes más erráticas cuyo objetivo estaba en la explotación de vulnerabilidades VPN, fundadas principalmente en la confrontación cibernética que mantiene con Israel, USA y países aliados. 

Durante el último trimestre de 2020 y el primer mes de 2021, hemos evidenciado actividades referentes a esta campaña, logrando apreciar eventos en países hispanoparlantes que son atribuidos a actividades secundarias que buscan obtener financiamiento para sustentar sus operaciones político-militares en medio Oriente.  

Un reciente informe de la empresa ClearSky, destacó que los ataques contra servidores VPN posiblemente estén vinculados a tres grupos iraníes: APT33 ("Elfin"), APT34 ("OilRig") y APT39 (Chafer).

APT33: es un grupo de amenaza iraní sospechoso que ha llevado a cabo operaciones desde al menos 2013. El grupo se ha dirigido a organizaciones en múltiples industrias en los Estados Unidos, Arabia Saudita y Corea del Sur, con un interés particular en los sectores de la aviación y la energía. 

APT34: es un presunto grupo de amenaza iraní que se ha dirigido a víctimas de Oriente Medio e internacionales desde al menos 2014. El grupo se ha dirigido a una variedad de industrias, incluidas las financieras, gubernamentales, energéticas, químicas y de telecomunicaciones.

APT39: es un grupo iraní de ciberespionaje que ha estado activo desde al menos 2014. Se han dirigido a las industrias de telecomunicaciones y viajes para recopilar información personal que se alinee con las prioridades nacionales de Irán.

Pay 2 Kitten

Dentro del marco de operaciones de la campaña Fox Kitten, que busca obtener acceso a información empresarial a través de la explotación de vulnerabilidades VPN, se ha evidenciado una nueva campaña atribuída a los mismos ciberactores iraníes, llamada Pay 2 Kitten. 

Esta nueva campaña, evidenciada a mediados de diciembre de 2020, tiene directa relación con un nuevo ransomware identificado como Pay2Key, que ha logrado comprometer a más de 40 víctimas a nivel global, que en su mayoría corresponden a empresas de origen israelí.



PRINCIPALES VULNERABILIDADES DE PROVEEDORES VPN


Fortinet SSL VPN

Durante la semana pasada, notificamos respecto a la actualización de vulnerabilidades de 2018 que afectan a Fortinet SSL VPN, es importante destacar que se han difundido nuevas herramientas de explotación. Entre las vulnerabilidades afectadas, destacan: 

  • CVE-2018-13379
  • CVE-2018-13381
  • CVE-2018-13382
  • CVE-2018-13383

CVE-2020-12812 FortiOS: La vulnerabilidad existe debido a un error al procesar las solicitudes de autenticación en SSL VPN. Un atacante autenticado remoto puede cambiar el caso de su nombre de usuario y obtener acceso no autorizado a la aplicación sin que se le solicite el segundo factor de autenticación (FortiToken).

La vulnerabilidad permite que un atacante remoto omita el proceso de autenticación.


PulseSecure VPN

Aún se evidencian al menos 440 activos expuestos a Internet, que son vulnerables a la explotación de CVE-2019-11510, en más de 50 países.

Existen otras vulnerabilidades como CVE-2019-11539 que también poseen exploit públicos en internet.


SonicWall VPN

En enero de 2021, se difundió una alerta por la detección de un ataque sofisticado contra sus sistemas que podría haberse realizado gracias a la explotación de un día cero en algunos de sus productos de acceso remoto. CVE-2020-5146

Del mismo modo durante 2020, se evidenciaron otras 7 vulnerabilidades en el aplicativo VPN:

  • CVE-2020-5145
  • CVE-2020-5144
  • CVE-2020-5140
  • CVE-2020-5139
  • CVE-2020-5138
  • CVE-2020-5137
  • CVE-2020-5133


Palo Alto Networks GlobalProtect SSL VPN

A comienzos del 2020 se reportaron campañas vinculadas a la explotación de vulnerabilidades que se encuentran presentes en las aplicaciones VPN de organizaciones a nivel mundial, las mismas se encontraban vinculadas a grupos APT. Entre las vulnerabilidades más explotadas se encuentran:

  • CVE-2019-1579
  • CVE-2020-2050


Cisco SSL VPN

Vulnerabilidades de ejecución remota de código de los routers VPN Cisco Small Business: Estas vulnerabilidades podrían permitir que un atacante remoto no autenticado ejecute código arbitrario como usuario raíz en un dispositivo afectado. Esto debido a que las solicitudes HTTP no se validan correctamente.

  • CVE-2021-1289
  • CVE-2021-1290
  • CVE-2021-1291
  • CVE-2021-1292
  • CVE-2021-1293
  • CVE-2021-1294
  • CVE-2021-1295

CVE-2020-3556 Cisco AnyConnect Secure Mobility Client: Cisco AnyConnect Secure Mobility Client está diseñado para proporcionar acceso VPN seguro para trabajadores remotos. La vulnerabilidad de alta gravedad rastreada como CVE-2020-3556 existe en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Client y puede permitir que atacantes autenticados y locales ejecuten scripts maliciosos a través de un usuario objetivo.

“Para explotar con éxito esta vulnerabilidad, debe haber una sesión de AnyConnect en curso por parte del usuario objetivo en el momento del ataque. Para aprovechar esta vulnerabilidad, el atacante también necesitaría credenciales de usuario válidas en el sistema en el que se está ejecutando el cliente AnyConnect ”

Afecta a todas las versiones de cliente de AnyConnect para Windows, Linux y macOS con configuraciones vulnerables; los clientes móviles de iOS y Android no se ven afectados por esta vulnerabilidad.


Check Point Security VPN

Vulnerabilidades críticas reportadas en el proveedor global de soluciones de seguridad Check Point durante el 2019 que aún son explotadas:

  • CVE-2019-8459
  • CVE-2019-8456

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Habilite la autenticación multifactor (MFA) o la autenticación de dos factores (2FA) para todas las cuentas de usuario que aprovechan el acceso externo a través de servicios VPN o RDP.
  • Auditar el cumplimiento de los restablecimientos de contraseña regulares que incluyen una política de contraseña compleja.
  • Habilite los registros en todos los dispositivos VPN y Firewall para rastrear todos los eventos de autenticación (exitosos, fallidos y no autenticados) y la actividad de los usuarios.
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

El listado de las CVE se adjunta a continuación:


Tags: #VPN #FoxKitten #Pay2Kitten #APT33 #APT34 #APT39 #Cisco #CheckPoint #SonicWall #PaloAlto #Fortinet


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.