CISA advierte sobre el robo de credenciales a través de SolarWinds y PulseSecure VPN


Únase a Transform 2021 del 12 al 16 de julio. Regístrese para el evento de IA del año.


Los atacantes han apuntado tanto al dispositivo Pulse Secure VPN como a la plataforma SolarWinds Orion en una organización, dijo el gobierno de EE. UU. En un informe de incidentes el jueves pasado.

Las empresas se han visto sacudidas por informes de ciberataques en plataformas críticas para la empresa durante el año pasado. Durante los últimos meses, los equipos de seguridad han examinado una lista cada vez mayor de ciberataques y vulnerabilidades para determinar si se han visto afectados y aplicar correcciones o soluciones si es necesario. El ataque a la cadena de suministro y el compromiso de la plataforma SolarWinds Orion que se informó a principios de este año fue solo el comienzo. Desde entonces, ha habido informes de ataques contra Microsoft Exchange, el firewall Sonicwall y el firewall Accellion, por nombrar algunos. Los defensores también tienen una larga lista de vulnerabilidades críticas de parches que se encuentran en varios productos empresariales ampliamente utilizados, incluidos VMware y el dispositivo BIGIP de F5.

Vulnerabilidades encadenadas

La advertencia de seguridad cibernética y seguridad de la infraestructura (CISA) de EE. UU. Es un recordatorio inquietante de que los atacantes a menudo encadenan vulnerabilidades en varios productos para facilitar la navegación por la red de la víctima, causar daños y robar información.

Al comprometer el dispositivo de red privada virtual Pulse Secure, los atacantes obtuvieron acceso inicial al entorno. La plataforma SolarWinds Orion se utilizó para llevar a cabo ataques a la cadena de suministro.

En el informe del incidente, CISA dijo que los atacantes primero obtuvieron las credenciales de la organización víctima al emitir las credenciales almacenadas en caché del servidor del dispositivo SolarWinds. Los atacantes también se disfrazaron como la infraestructura de registro de la organización víctima en el servidor SolarWinds Orion para recopilar todas las credenciales en un archivo y filtrar ese archivo de la red. Los atacantes probablemente aprovecharon una vulnerabilidad de omisión de autenticación en la interfaz de programación de aplicaciones (API) SolarWinds Orion que permitiría a un atacante remoto ejecutar comandos API, según CISA.

Luego, los atacantes utilizaron las credenciales para conectarse a la red de la organización víctima a través del dispositivo Pulse Secure VPN. Hubo varios intentos entre marzo de 2020 y febrero de 2021, dijo CISA en su advertencia.

Malware de supernova

Los atacantes utilizaron el malware Supernova en este ciberataque, lo que les permitió realizar varios tipos de actividades, incluido el reconocimiento, para saber qué hay en la red y dónde se almacena la información, y moverse lateralmente a través de la red. Este es un método diferente del anterior ciberataque de SolarWinds que puso en riesgo a más de 18.000 empresas.

“Las empresas que encuentran Supernova en sus instalaciones de SolarWinds deben tratar este incidente como un ataque separado [from Sunburst]», Escribió CISA en un informe analítico de cuatro páginas publicado el jueves.

Parece que los atacantes se aprovecharon del hecho de que en marzo de 2020, muchas organizaciones intentaron configurar el acceso remoto para los empleados que de repente comenzaron a trabajar desde casa debido a la pandemia. Es comprensible que en la confusión de conectar empleados de ubicaciones completamente diferentes, el equipo de seguridad pasó por alto el hecho de que esas conexiones remotas en particular no fueron realizadas por empleados legítimos.

Según CISA, ninguna de las credenciales de usuario utilizadas en el primer compromiso tenía habilitada la autenticación multifactor. La agencia instó a todas las organizaciones a proporcionar autenticación multifactor para cuentas privilegiadas, usar cuentas de administrador separadas en estaciones de trabajo de administrador separadas y buscar ejecutables comunes que se ejecuten con el hash de otro proceso.

Si bien CISA no atribuyó el ciberataque combinado a nadie en su advertencia, señaló que este ciberataque no fue llevado a cabo por agencias de inteligencia extranjeras rusas. El gobierno de EE. UU. Había atribuido el compromiso masivo entre el gobierno y las organizaciones privadas entre marzo de 2020 y junio de 2020 al Servicio de Inteligencia Exterior de Rusia (SVR). La firma de seguridad FireEye dijo la semana pasada que los actores estatales chinos habían explotado varias vulnerabilidades en Pulse Secure VPN para ingresar a agencias gubernamentales, compañías de defensa e instituciones financieras en Estados Unidos y Europa. Según Reuters, Supernova se utilizó en un ciberataque anterior contra el Centro Nacional de Finanzas, una administración federal de nóminas en el Departamento de Agricultura de Estados Unidos, que supuestamente fue llevado a cabo por actores estatales chinos.

VentureBeat

La misión de VentureBeat es ser una plaza de la ciudad digital para que los responsables de la toma de decisiones tecnológicas obtengan conocimientos sobre la tecnología y las transacciones transformadoras. Nuestro sitio web proporciona información importante sobre tecnologías y estrategias de datos para ayudarlo a administrar su negocio. Te invitamos a convertirte en miembro de nuestra comunidad y acceder a:

  • información actual sobre los temas de su interés
  • nuestros boletines
  • contenido privado de líderes de opinión y acceso con descuento a nuestros valiosos eventos, como Transformar 2021: Aprende más
  • Funciones de red y más

conviértete en miembro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *