Fallas para acceder a los sistemas de apoyo a las elecciones del USA

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hackers utilizaron fallas en las VPN para acceder a los sistemas de apoyo a las elecciones del gobierno de EE. UU.

Los piratas informáticos respaldados por el gobierno se han comprometido y han obtenido acceso a los sistemas de apoyo a las elecciones de EE. UU. Al encadenar las vulnerabilidades de VPN y la reciente falla de seguridad de Windows CVE-2020-1472.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dice que los actores de amenazas persistentes avanzadas (APT) utilizaron esta táctica de encadenamiento de vulnerabilidades para apuntar a redes gubernamentales federales y SLTT (estatales, locales,  y territoriales), así como a organizaciones electorales y de . Infraestructuras críticas.

Sistemas de apoyo electoral comprometidos

"Aunque no parece que estos objetivos se estén seleccionando debido a su proximidad a la información electoral, puede haber algún riesgo para la información electoral almacenada en las redes gubernamentales", dice un aviso de seguridad conjunto publicado por CISA y el FBI.

A pesar de eso, CISA agregó que está "al tanto de algunos casos en los que esta actividad resultó en acceso no autorizado a los sistemas de apoyo electoral".

Sin embargo, no hay evidencia de que los actores de amenazas persistentes avanzadas (APT) hayan podido utilizar su acceso para comprometer la "integridad de los datos electorales", como explica CISA.

Para obtener acceso a estos sistemas, los atacantes explotaron servidores expuestos a Internet utilizando la vulnerabilidad CVE-2018-13379 en la VPN FortiOS Secure Socket Layer (SSL) de Fortinet o la falla CVE-2020-15505 en MobileIron Unified Endpoint Management (UEM)  para que los dispositivos móviles obtengan acceso inicial.

Posteriormente, explotaron CVE-2020-1472 (también conocido como Zerologon), una falla de seguridad crítica en el protocolo de autenticación de Windows Netlogon que permite a los atacantes elevar los privilegios al administrador del dominio después de una explotación exitosa, lo que les permite tomar el control de todo el dominio y cambiar de usuario y contraseña.

"Se ha observado que los actores utilizan herramientas legítimas de acceso remoto, como VPN y el Protocolo de escritorio remoto (RDP), para acceder al entorno con las credenciales comprometidas", agrega CISA. "La actividad observada se dirige a múltiples sectores y no se limita a las entidades SLTT".

La semana pasada, Microsoft también advirtió sobre el grupo de piratería MERCURY respaldado por Irán (también conocido como MuddyWater, SeedWorm y TEMP.Zagros) que explota activamente Zerologon en sus ataques.

Errores de VPN que podrían usarse en futuros ataques

A pesar de que los piratas informáticos de APT han aprovechado la vulnerabilidad del portal web CVE-2018-13379 FortiOS SSL VPN para obtener acceso a la red, CISA advierte que podrían usar cualquier otra vulnerabilidad para atacar dispositivos periféricos de red no parcheados y con conexión a Internet en sus ataques.

CISA aconseja a las organizaciones que podrían ser blanco de estos ataques que reparen inmediatamente todas las fallas conocidas dentro de su infraestructura de red expuesta a Internet.

La agencia de ciberseguridad de EE. UU. destaca las siguientes vulnerabilidades como las que los actores de APT probablemente podrían usar en futuros ataques contra el gobierno y las redes de infraestructura crítica para obtener acceso inicial:

Citrix NetScaler (CVE-2019-19781)
MobileIron (CVE-2020-15505)
Pulse Secure (CVE-2019-11510)
Palo Alto Networks (CVE-2020-2021)
F5 BIG-IP (CVE-2020-5902)

Algunos de ellos ya se han utilizado en ataques anteriores que explotan la falla CVE-2019-11510 Pulse VPN, la falla CVE-2019-19781 Citrix NetScaler y la falla crítica CVE-2020-5902 F5 BIG-IP.

En septiembre, Microsoft también advirtió sobre los actores APT rusos, chinos e iraníes que apuntan a las elecciones estadounidenses de 2020.

El informe de Microsoft confirmó la inteligencia compartida por el gobierno de Estados Unidos en julio y agosto sobre piratas informáticos rusos, iraníes y chinos que intentaban "comprometer las comunicaciones privadas de las campañas políticas, los candidatos y otros objetivos políticos de Estados Unidos".

Este mes, CISA también ha alertado sobre un número creciente de ataques Emotet que se han dirigido a varios gobiernos estatales y locales de EE. UU.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta