enero 30, 2023

Los federales dicen que los piratas informáticos probablemente estén explotando vulnerabilidades críticas de VPN de Fortinet

Contenidos

Los federales dicen que los piratas informáticos probablemente estén explotando vulnerabilidades críticas de VPN de Fortinet

El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad han dicho que los piratas informáticos avanzados probablemente estén explotando vulnerabilidades críticas en Fortinet FortiOS VPN en un intento de plantar una cabeza de puente para violar empresas medianas y grandes en ataques posteriores.

“Los actores de la APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a más servicios gubernamentales, comerciales y tecnológicos”, dijeron las agencias en una consulta conjunta el viernes. “Obtener acceso inicial predispone a los actores de la APT para que lleven a cabo futuros ataques”. APT es la abreviatura de Advanced Persistent Threat, un término que se utiliza para describir grupos de hackers bien organizados y financiados, muchos de ellos respaldados por estados nacionales.

Romper la pajita

Las VPN SSL de Fortinet FortiOS se utilizan principalmente en firewalls fronterizos, que aíslan las redes internas sensibles de la Internet pública. Dos de las tres vulnerabilidades ya parcheadas enumeradas en el aviso, CVE-2018-13379 y CVE-2020-12812, son particularmente graves porque permiten a los piratas informáticos no autenticados robar credenciales y conectarse a VPN que aún no se han actualizado.

“Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, si son Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso de inmediato a esos servicios con los privilegios del usuario cuyas credenciales fueron robadas”, dijo. James Renken, ingeniero de confiabilidad del sitio en Internet Security Research Group. Renken es una de las dos personas a las que se atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2019-5591, que el aviso del viernes dijo que probablemente fue explotada. “El atacante puede explorar la red, intentar explotar varios servicios internos, etc.”

Uno de los errores de seguridad más graves, CVE-2018-13379, fue encontrado y revelado por los investigadores Orange Tsai y Meh Chang de la firma de seguridad Devcore. Las diapositivas de una charla impartida por investigadores en la Black Hat Security Conference en 2019 lo describen como una “lectura arbitraria de archivos de autenticación previa”, lo que significa que permite al explotador leer bases de datos de contraseñas u otros archivos de interés.

Mientras tanto, la compañía de seguridad Tenable dijo que CVE-2020-12812 puede hacer que un explotador omita la autenticación de dos factores e inicie sesión con éxito.

El FBI y CISA no proporcionaron detalles sobre la APT mencionada en el aviso conjunto. El aviso también se defiende afirmando que existe una “probabilidad” de que los actores de la amenaza estén explotando activamente las vulnerabilidades.

Parchear vulnerabilidades requiere que los administradores de TI realicen cambios de configuración y, a menos que una organización use una red con más de un dispositivo VPN, tiempo de inactividad. Si bien estas barreras suelen ser difíciles en entornos que requieren disponibilidad de VPN las 24 horas, el riesgo de involucrarse en un ransomware o un compromiso de espionaje es significativamente mayor.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *