Como ya lo hemos abordado en anteriores boletines, dentro del panorama de amenazas hemos evidenciado un alza en la explotación de vulnerabilidades que tienen relación con las redes privadas virtuales (VPN). Este incremento está fuertemente ligado al uso de las mismas producto de que muchas empresas han implementado el teletrabajo como parte de sus operaciones durante la crisis sanitaria.
Un ejemplo de esto es que recientemente CISA ha publicado una Alerta de explotación de vulnerabilidades de Pulse Connect Secure, así como detalles técnicos sobre esta actividad. El proveedor, Ivanti ha proporcionado una mitigación y está desarrollando un parche.
Además, las agencias de seguridad de EE. UU han publicado conjuntamente un Aviso de seguridad cibernética sobre El Servicio de Inteligencia Exterior de Rusia que estaría explotando cinco vulnerabilidades conocidas públicamente para comprometer las redes estadounidenses y aliadas.
Ivanti Pulse Connect Secure
Pulse Connect Secure VPN proporciona TLS y soluciones VPN móviles. Considerado un producto de seguridad insignia utilizado por varias empresas importantes. El proveedor Ivani ha emitido una guía para garantizar la integridad de su software Pulse Connect Secure.
KB44755: https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
“El equipo de respuesta a incidentes de seguridad de productos de Ivanti (PSIRT) ha introducido una nueva herramienta para mejorar su capacidad de garantizar la integridad total de su software Pulse Connect Secure. Este artículo es una introducción y una guía de inicio rápido de nuestra herramienta de integridad segura Pulse Connect recientemente desarrollada.
*Este documento se aplica únicamente al software Pulse Connect Secure (PCS) y no a otros productos / software Pulse Secure.
Amenazas Pulse Secure
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ayudó a múltiples entidades cuyos productos vulnerables Pulse Connect Secure han sido explotados por un actor de amenazas cibernéticas. Para obtener acceso inicial, el actor de amenazas aprovecha múltiples vulnerabilidades, incluidas:
El actor de amenazas está utilizando este acceso para colocar webshells en el dispositivo Pulse Connect Secure para un mayor acceso y persistencia. Los webshells conocidos permiten una variedad de funciones, incluida la omisión de autenticación, la omisión de autenticación multifactor, el registro de contraseñas y la persistencia a través de parches.
CISA recomienda encarecidamente a las organizaciones que utilizan dispositivos Ivanti Pulse Connect Secure que ejecuten inmediatamente la herramienta de integridad Pulse Secure Connect, que actualicen a la última versión del software e investiguen en busca de actividad maliciosa.
El Servicio de Inteligencia Exterior de Rusia explota cinco vulnerabilidades conocidas públicamente.
la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) del Departamento de Seguridad Nacional (DHS) de Estados Unidos y el Buró Federal de Investigaciones (FBI) compartieron una alerta conjunta sobre la explotación de varias vulnerabilidades conocidas por parte actores del Servicio de Inteligencia Exterior de Rusia (SVR). con el objetivo de comprometer redes de EE.UU. y sus aliados, incluyendo sistemas de gobierno y seguridad nacional.
El llamado es a mitigar las siguientes vulnerabilidades conocidas públicamente:
Panorama
En boletines anteriores hemos advertido respecto a campañas presentes en Latino América que se encuentran activas desde al menos los últimos cuatro años con incidentes esporádicos que buscan explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo.(Incremento en campañas que explotan vulnerabilidades de VPN)
Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN de las principales marcas.
Lo crítico está en la capacidad disruptiva para el negocio de las organizaciones que logran una vez se encuentran dentro de las redes privadas. Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
VMware Workspace |
ONE Access |
Fortinet FortiGate |
VPN |
Pulse Secure Pulse Connect Secure |
VPN |
Citrix Application Delivery |
Controller and Gateway |
Synacor Zimbra |
Collaboration Suite |