El FBI dice que los atacantes de estado-nación están involucrados en redes pirateadas de entidades notables de EE. UU.

El FBI dijo en una reciente alerta de Flash Security que las redes de un gobierno municipal de EE. UU. Y una entidad financiera de EE. UU. Se han violado debido a la vulnerabilidad CVE-2019-11510 que afecta a los servidores VPN Secure Pulse.

La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. O CISA alertó previamente a las organizaciones sobre esta vulnerabilidad y los ataques en curso para explotar la falla y les recomendó parchear sus servidores VPN Secure Pulse el 10 de enero.

Los errores permiten a los atacantes enviar direcciones URL específicamente diseñadas para conectar dispositivos vulnerables y obtener acceso no autorizado y leer los archivos confidenciales que contienen credenciales de los usuarios desde sus servidores de forma remota. Pueden usar para controlar el sistema infectado más adelante.

En un sistema sin parches, “permite que las personas sin nombres de usuario y contraseñas válidos se conecten de forma remota a la red corporativa que se supone que protege el dispositivo, apaguen los controles de autenticación de múltiples factores, vean de forma remota los registros y las contraseñas en caché en texto plano (incluido Active Directory contraseñas de cuenta) “, explicó el investigador de seguridad Kevin Beaumont.

Las entidades estadounidenses han incumplido los ataques Pulse Secure VPN

El FBI dice que los atacantes desconocidos han utilizado la vulnerabilidad CVE-2019-11510 para explotar entidades estadounidenses desde agosto de 2019. En agosto, los atacantes obtuvieron acceso a la red de una entidad financiera estadounidense y también violaron una red del gobierno municipal de EE. UU. Utilizando la vulnerabilidad indicada. Según el FBI, algunos actores de los estados nacionales estuvieron involucrados en estos dos ataques. Sin embargo, esto no está claro si se trata de incidentes aislados.

 El gobierno de los Estados Unidos consiguió el hack de la red

Con el ataque de la red del gobierno municipal de EE. UU. A mediados de agosto de 2019, los atacantes pudieron enumerar y alegrar las cuentas de los usuarios, la información de configuración del host y los identificadores de sesión que podrían permitir el acceso a la red interna. Existe la posibilidad de que después de romper la red, los atacantes ataquen al Active Directory y obtengan las credenciales de los usuarios, como nombres de usuario y contraseñas para el cliente VPN. Después de intentar enumerar las credenciales de los usuarios y obtener acceso a los otros segmentos de la red, solo pudieron explotar esos segmentos en la red utilizando solo la autenticación de factor único.

“Los intrusos intentaron acceder a varias cuentas de correo web de Outlook pero no tuvieron éxito debido a que las cuentas estaban en dominios separados

que requieren credenciales diferentes no obtenidas por el intruso (s).

Mientras que el intruso (s) realizó una enumeración adicional, no hubo evidencia de que ningún dato estuviera comprometido o exfiltrado, y el intruso (s) aparentemente no instaló ninguna capacidad de persistencia o punto de apoyo en la red “.

 Posiblemente conexión con Irán

Una notificación privada de la industria que trata las tácticas y técnicas cibernéticas iraníes dijo: “la información que indica que los ciber actores iraníes han intentado explotar la vulnerabilidad y la exposición común (CVE) 2019-11510 [..]”

“El FBI evalúa este objetivo, que se ha producido desde finales de 2019, tiene un alcance amplio y ha afectado a numerosos sectores en los Estados Unidos y otros países”.

El FBI ha observado que los actores utilizan la información obtenida de la explotación de estas vulnerabilidades para acceder a redes específicas y establecer otros puntos de apoyo incluso después de que la víctima reparó la vulnerabilidad “.

Medidas de atenuación

El FBI aconseja a los municipios que revisen este aviso de seguridad cibernética de la Agencia de Seguridad Nacional (NSA) para mitigar las vulnerabilidades de VPN. También recomiendan tomar las siguientes medidas:

• Esté alerta e instale de inmediato los parches lanzados por los proveedores, especialmente para los dispositivos orientados a la web;
• Bloquee o monitoree las direcciones IP maliciosas mencionadas anteriormente, así como cualquier otra dirección IP que realice inicios de sesión remotos en horas impares;
• Restablezca las credenciales antes de volver a conectar los dispositivos actualizados a una red externa;
• Revocar y crear nuevas claves y certificados de servidor VPN;
• Utilice la autenticación multifactorial como medida de seguridad más allá de las contraseñas, lo que le permite diferenciar a un usuario de un atacante;
• Revise sus cuentas para asegurarse de que los adversarios no hayan creado nuevas cuentas;
• Implementar la segmentación de la red cuando corresponda;
• Asegúrese de que las interfaces web administrativas no sean accesibles desde internet

Los servidores Pulse Secure VPN sin parches todavía están apuntando

NSA, en octubre de 2019, “El código de explotación está disponible gratuitamente en línea a través del marco Metasploit, así como GitHub. Los ciber actores maliciosos están utilizando activamente este código de explotación”.

La firma de seguridad Bad Packets, el 25 de agosto de 2019, descubrió 14,528 servidores Pulse Secure sin parches que hoy arrojaron 3, 328, siendo Estados Unidos el primero en esta clasificación con 1000 servidores VPN sin parches.

Scott Gordon (CISSP), Director de Marketing de Pulse Secure, dijo que los atacantes están explotando activamente “servidores VPN no parcheados para propagar malware, REvil (Sodinokibi), distribuyendo y activando el Ransomware a través de indicaciones interactivas de la interfaz VPN a los usuarios que intentan acceder recursos a través de servidores Pulse VPN no parcheados y vulnerables “.