APTs explotan vulnerabilidades conocidas para comprometer redes estadounidenses y aliadas

Como ya lo hemos abordado en anteriores boletines, dentro del panorama de amenazas hemos evidenciado un alza en la explotación de vulnerabilidades que tienen relación con las redes privadas virtuales (VPN). Este incremento está fuertemente ligado al uso de las mismas producto de que muchas empresas han implementado el teletrabajo como parte de sus operaciones durante la crisis sanitaria.

Un ejemplo de esto es que recientemente CISA ha publicado una Alerta de explotación de vulnerabilidades de Pulse Connect Secure, así como detalles técnicos sobre esta actividad. El proveedor, Ivanti ha proporcionado una mitigación y está desarrollando un parche.

Además, las agencias de seguridad de EE. UU han publicado conjuntamente un Aviso de seguridad cibernética sobre El Servicio de Inteligencia Exterior de Rusia que estaría explotando cinco vulnerabilidades conocidas públicamente para comprometer las redes estadounidenses y aliadas.

Ivanti Pulse Connect Secure

Pulse Connect Secure VPN proporciona TLS y soluciones VPN móviles. Considerado un producto de seguridad insignia utilizado por varias empresas importantes. El proveedor Ivani ha emitido una guía para garantizar la integridad de su software Pulse Connect Secure.

KB44755:  https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

“El equipo de respuesta a incidentes de seguridad de productos de Ivanti (PSIRT) ha introducido una nueva herramienta para mejorar su capacidad de garantizar la integridad total de su software Pulse Connect Secure. Este artículo es una introducción y una guía de inicio rápido de nuestra herramienta de integridad segura Pulse Connect recientemente desarrollada.  

*Este documento se aplica únicamente al software Pulse Connect Secure (PCS) y no a otros productos / software Pulse Secure.

Amenazas Pulse Secure

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ayudó a múltiples entidades cuyos productos vulnerables Pulse Connect Secure han sido explotados por un actor de amenazas cibernéticas. Para obtener acceso inicial, el actor de amenazas aprovecha múltiples vulnerabilidades, incluidas:

• CVE-2019-11510: Un atacante remoto no autenticado con acceso a la red a través de HTTPS puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. CVSS 10
• CVE-2020-8260: Una vulnerabilidad en la interfaz web de administración podría permitir a un atacante autenticado realizar una ejecución de código arbitrario utilizando una extracción gzip incontrolada. CVSS 7.2
• CVE-2020-8243: Una vulnerabilidad en la interfaz web de administración podría permitir que un atacante autenticado cargue una plantilla personalizada para realizar una ejecución de código arbitrario. CVSS 7.2
• CVE-2021-22893: Recientemente divulgado, la vulnerabilidad en Pulse Connect Secure permite que un atacante remoto no autenticado ejecute código arbitrario a través de vectores no especificados. CVSS 10

 El actor de amenazas está utilizando este acceso para colocar webshells en el dispositivo Pulse Connect Secure para un mayor acceso y persistencia. Los webshells conocidos permiten una variedad de funciones, incluida la omisión de autenticación, la omisión de autenticación multifactor, el registro de contraseñas y la persistencia a través de parches.
CISA recomienda encarecidamente a las organizaciones que utilizan dispositivos Ivanti Pulse Connect Secure que ejecuten inmediatamente la herramienta de integridad Pulse Secure Connect, que actualicen a la última versión del software e investiguen en busca de actividad maliciosa.

El Servicio de Inteligencia Exterior de Rusia explota cinco vulnerabilidades conocidas públicamente.

la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) del Departamento de Seguridad Nacional (DHS) de Estados Unidos y el Buró Federal de Investigaciones (FBI) compartieron una alerta conjunta sobre la explotación de varias vulnerabilidades conocidas por parte actores del Servicio de Inteligencia Exterior de Rusia (SVR). con el objetivo de comprometer redes de EE.UU. y sus aliados, incluyendo sistemas de gobierno y seguridad nacional.

El llamado es a mitigar las siguientes vulnerabilidades conocidas públicamente:

• CVE-2018-13379 Fortinet FortiGate VPN
• CVE-2019-9670 Synacor Zimbra Collaboration Suite
• CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
• CVE-2019-19781 Gateway y controlador de entrega de aplicaciones Citrix
• CVE-2020-4006 Acceso a VMware Workspace ONE

Panorama

En boletines anteriores hemos advertido respecto a campañas presentes en Latino América que se encuentran activas desde al menos los últimos cuatro años con incidentes esporádicos que buscan explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo.(Incremento en campañas que explotan vulnerabilidades de VPN)

Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN de las principales marcas.

Lo crítico está en la capacidad disruptiva para el negocio de las organizaciones que logran una vez se encuentran dentro de las redes privadas. Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.
 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Habilite la autenticación multifactor (MFA) o la autenticación de dos factores (2FA) para todas las cuentas de usuario que aprovechan el acceso externo a través de servicios VPN o RDP.
• Auditar el cumplimiento de los restablecimientos de contraseña regulares que incluyen una política de contraseña compleja.
• Habilite los registros en todos los dispositivos VPN y Firewall para rastrear todos los eventos de autenticación (exitosos, fallidos y no autenticados) y la actividad de los usuarios.
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.