Se reactivan campañas de explotación de vulnerabilidades en VPN

05 Abril 2021
Crítico

Tal como mencionamos en un boletín del mes de febrero hemos evidenciado un alza en la explotación de vulnerabilidades que tienen relación con las redes privadas virtuales (VPN). Este incremento está fuertemente ligado al uso de las mismas producto de que muchas empresas han implementado el teletrabajo como parte de sus operaciones durante la crisis sanitaria que ya lleva en Chile casi 1 año.

Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN de las principales marcas.

Lo crítico está en la capacidad disruptiva para el negocio de las organizaciones que logran una vez se encuentran dentro de las redes privadas. Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.

Nuevas vulnerabilidades evidenciadas

CVE-2019-5591 - La configuración predeterminada de FortiGate no verifica la identidad del servidor LDAP.

Una vulnerabilidad de configuración predeterminada en FortiOS puede permitir que un atacante no autenticado en la misma subred intercepte información confidencial haciéndose pasar por el servidor LDAP.

CVE-2020-12812 Omisión de FortiOS SSL VPN 2FA cambiando el caso del nombre de usuario

Una vulnerabilidad de autenticación incorrecta en SSL VPN en FortiOS puede hacer que un usuario pueda iniciar sesión correctamente sin que se le solicite el segundo factor de autenticación (FortiToken) si cambia el caso de su nombre de usuario.

El problema existe debido a una coincidencia inconsistente entre mayúsculas y minúsculas entre la autenticación local y remota.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Fortinet #VPN #EXPLOIT #CVE-2020-12812 #CVE-2019-5591
  • Productos Afectados
  • Producto Versión
    FortiOS anteriores a 6.0.10
    anteriores a 6.2.4
    anteriores a 6.4.1


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.