Los servidores VPN sin parches se convierten en un objetivo lucrativo

La Agencia de Seguridad de la Ciberseguridad e Infraestructura de los Estados Unidos (CISA) emitió ayer un nuevo aviso que advierte a las organizaciones que cambien todas sus credenciales de Active Directory como defensa contra los ataques cibernéticos que intentan aprovechar una vulnerabilidad conocida de ejecución remota de código (RCE) en los servidores Pulse Secure VPN, incluso si ya lo han parchado.

La advertencia llega tres meses después de otra alerta de CISA que insta a los usuarios y administradores a parchear entornos Pulse Secure VPN para frustrar los ataques que explotan la vulnerabilidad.

"Los actores de amenazas que explotaron con éxito CVE-2019-11510 y robaron las credenciales de una organización víctima aún podrán acceder, y moverse lateralmente, a la red de esa organización después de que la organización haya parcheado esta vulnerabilidad si la organización no cambió esas credenciales robadas". Dijo CISA.

CISA también ha lanzado una herramienta para ayudar a los administradores de red a buscar cualquier indicador de compromiso asociado con la falla.

Un error de ejecución remota de código

Rastreado como CVE-2019-11510 , la vulnerabilidad de lectura de archivos arbitrarios previa a la autenticación podría permitir a atacantes remotos no autenticados comprometer servidores VPN vulnerables y obtener acceso a todos los usuarios activos y sus credenciales de texto sin formato, y ejecutar comandos arbitrarios.



La falla se debe al hecho de que el recorrido del directorio está codificado para permitir si una ruta contiene "dana / html5 / acc", lo que permite que un atacante envíe URL especialmente diseñadas para leer archivos confidenciales, como "/ etc / passwd" que contiene información sobre cada usuario en el sistema.

Para abordar este problema, Pulse Secure lanzó un parche fuera de banda el 24 de abril de 2019.

Mientras que el 24 de agosto de 2019, la empresa de inteligencia de seguridad Bad Packets pudo descubrir 14,528 servidores Pulse Secure sin parchear , un escaneo posterior a partir del mes pasado produjo 2,099 puntos finales vulnerables , lo que indica que una gran mayoría de las organizaciones han parcheado sus puertas de enlace VPN.



Los servidores VPN sin parches se convierten en un objetivo lucrativo

El hecho de que todavía haya más de miles de servidores Pulse Secure VPN sin parches los ha convertido en un objetivo lucrativo para que los malos actores distribuyan malware.

Un informe de ClearSky encontró a piratas informáticos patrocinados por el estado iraní que utilizan CVE-2019-11510 , entre otros, para penetrar y robar información de empresas de TI y telecomunicaciones en todo el mundo.

Según un aviso de la NSA de octubre de 2019, el "código de explotación está disponible gratuitamente en línea a través del marco Metasploit, así como GitHub. Los ciberdelincuentes maliciosos están utilizando activamente este código de explotación".

En una alerta similar emitida el año pasado, el Centro Nacional de Seguridad Cibernética ( NCSC ) del Reino Unido advirtió que los grupos de amenazas avanzadas están explotando la vulnerabilidad para atacar a organizaciones gubernamentales, militares, académicas, comerciales y de atención médica.

Más recientemente, Travelex , la firma de cambio de moneda extranjera y seguro de viaje, se convirtió en una víctima después de delincuentes sembraron Sodinokibi (revil) ransomware en las redes de la compañía a través de la vulnerabilidad de pulso seguro. Aunque los operadores de ransomware exigieron un rescate de $ 6 millones (£ 4.6 millones), un informe del Wall Street Journal la semana pasada dijo que pagó $ 2.3 millones en forma de 285 Bitcoin para resolver su problema.

Ante los ataques en curso, se recomienda que las organizaciones actualicen su Pulse Secure VPN, restablezcan sus credenciales y busquen solicitudes de registro no autenticadas e intentos de explotación.

CISA también sugirió eliminar los programas de acceso remoto no aprobados e inspeccionar las tareas programadas en busca de scripts o ejecutables que puedan permitir que un atacante se conecte a un entorno.

Vía:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta