La agencia del gobierno estadounidense encargada de mejorar la postura de ciberseguridad del país está ordenando a todas las agencias federales que tomen nuevas medidas para restringir el acceso a equipos de redes expuestos a Internet. La directiva llega en medio de un aumento de ataques dirigidos a vulnerabilidades previamente desconocidas en dispositivos de seguridad y redes ampliamente utilizados.
La orden CISA destaca el riesgo persistente en el borde de la red – Krebs on Security
Según una nueva orden de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), las agencias federales tendrán 14 días para responder a cualquier informe de CISA sobre equipos de red mal configurados o expuestos a Internet. La directiva se aplica a cualquier dispositivo de red, como firewalls, enrutadores y equilibradores de carga, que permitan la autenticación o administración remota.
La orden requiere que los departamentos federales limiten el acceso para que solo los usuarios autorizados en la red local o interna de una agencia puedan acceder a las interfaces de administración de estos dispositivos. El mandato de CISA sigue a una serie de incidentes recientes en los que los atacantes explotaron fallas de día cero en productos de redes populares para realizar ataques de ransomware y ciberespionaje a las organizaciones víctimas.
Hoy temprano, la firma de respuesta a incidentes Mandiant reveló que desde al menos octubre de 2022, los ciberespías chinos han estado explotando una vulnerabilidad de día cero en muchos dispositivos de puerta de enlace de seguridad de correo electrónico (ESG) vendidos por Barracuda Networks, con sede en California, para aspirar el correo electrónico de las organizaciones que utilizan estos. dispositivos.
Barracuda fue alertada sobre la explotación de un día cero en sus productos a mediados de mayo, y dos días después, la compañía lanzó una actualización de seguridad para abordar la falla en todos los dispositivos afectados. Pero la semana pasada, Barracuda tomó la medida muy inusual de ofrecer reemplazar los ESG comprometidos, evidentemente en respuesta a un malware que alteró los sistemas de una manera tan fundamental que ya no se podían proteger de forma remota con actualizaciones de software.
Según Mandiant, un grupo de piratas informáticos chino no identificado anteriormente fue responsable de explotar la falla Barracuda y parecía estar buscando en los registros de correo electrónico de las organizaciones víctimas cuentas “pertenecientes a personas que trabajan para un gobierno con intereses políticos o estratégicos”. [China] mientras este gobierno víctima participaba en reuniones diplomáticas de alto nivel con otros países”.
Cuando los expertos en seguridad comenzaron a dar la alarma sobre un posible día cero en los productos de Barracuda, el grupo de hackers chino alteró sus tácticas, técnicas y procedimientos (TTP) en respuesta a los esfuerzos de Barracuda por contener y remediar el incidente, descubrió Mandiant.
Mandiant dijo que los atacantes continuarán cambiando sus tácticas y su malware, “especialmente a medida que los defensores de la red continúen tomando medidas contra este adversario y su actividad quede aún más expuesta por la comunidad de seguridad de la información”.
Mientras tanto, esta semana conocimos más detalles sobre la explotación continua de una falla de día cero en una amplia gama de productos de redes privadas virtuales (VPN) fabricados por Fortinet: dispositivos en los que muchas organizaciones confían para facilitar el acceso remoto a la red para los empleados.
El 11 de junio, Fortinet lanzó media docena de actualizaciones de seguridad para su firmware FortiOS, incluida una debilidad que, según los investigadores, permite a un atacante ejecutar malware en prácticamente cualquier dispositivo VPN SSL de Fortinet. Los investigadores descubrieron que el simple hecho de poder acceder a la interfaz de administración de un dispositivo VPN SSL de Fortinet vulnerable era suficiente para comprometer completamente los dispositivos.
“Esta es una autenticación previa accesible en todos los dispositivos VPN SSL”, tuiteó el investigador de vulnerabilidades francés Charles Fol. “Parchea tu #Fortigate”.
En detalles publicados el 12 de junio, Fortinet confirmó que una de las vulnerabilidades (CVE-2023-27997) está siendo explotada activamente. La compañía dijo que descubrió la debilidad en una auditoría de código interno que comenzó en enero de 2023, cuando se enteró de que los piratas informáticos chinos estaban explotando una falla de día cero diferente en sus productos.
Shodan.io, el motor de búsqueda creado para encontrar dispositivos de Internet de las cosas, informa que actualmente hay más de medio millón de dispositivos Fortinet vulnerables a los que se puede acceder a través de la Internet pública.
La nueva directiva de ciberseguridad de CISA ordena a las agencias que eliminen de Internet cualquier interfaz de administración de dispositivos de red haciéndolas accesibles únicamente desde una red empresarial interna (CISA recomienda una red de administración aislada). CISA también dice que las agencias deberían “implementar capacidades, como parte de una Arquitectura de Confianza Cero, que apliquen el control de acceso a la interfaz a través de un punto de aplicación de políticas separado de la propia interfaz (acción preferida)”.
Los expertos en seguridad dicen que la directiva de CISA resalta la realidad de que los ciberespías y las bandas de ransomware están haciendo que sea cada vez más riesgoso para las organizaciones exponer cualquier dispositivo a la Internet pública, porque estos grupos tienen fuertes incentivos para investigar dichos dispositivos en busca de vulnerabilidades de seguridad previamente desconocidas.
El ejemplo más evidente de esta dinámica se puede ver en la frecuencia con la que los grupos de ransomware han descubierto y atacado fallas de día cero en aplicaciones de protocolo de transferencia de archivos (FTP) ampliamente utilizadas. Una banda de ransomware en particular, Cl0p, ha explotado repetidamente los errores de día cero en varios dispositivos FTP para extorsionar decenas de millones de dólares a cientos de víctimas de ransomware.
El 2 de febrero, KrebsOnSecurity dio la noticia de que los atacantes estaban explotando una vulnerabilidad de día cero en el dispositivo FTP GoAnywhere de Fortra. Cuando las actualizaciones de seguridad estuvieron disponibles para solucionar la vulnerabilidad, Cl0p ya la había utilizado para robar datos de más de cien organizaciones que ejecutaban el dispositivo FTP de Fortra.
Según CISA, el 27 de mayo, Cl0p comenzó a explotar una falla previamente desconocida en MOVEit Transfer, una popular aplicación de transferencia de archivos a través de Internet. Desde entonces, Progress Software, empresa matriz de MOVEit, ha lanzado actualizaciones de seguridad para abordar la debilidad, pero Cl0p afirma haberlas utilizado ya para comprometer a cientos de organizaciones víctimas. TechCrunch ha estado rastreando las consecuencias de las organizaciones víctimas, que van desde bancos y proveedores de seguros hasta universidades y entidades de atención médica.
El siempre puntual podcast semanal de noticias sobre seguridad Risky Business ha estado instando recientemente a las organizaciones a deshacerse de todos y cada uno de los dispositivos FTP, señalando que es probable que Cl0p (u otra banda criminal) reciba el mismo tratamiento en otros proveedores de dispositivos FTP.
Pero ese buen consejo no se adapta exactamente a dispositivos de red de nivel medio como Barracuda ESG o Fortinet SSL VPN, que son particularmente prominentes en organizaciones pequeñas y medianas.
“No es como los servicios FTP: no se puede distinguir a una empresa [to] apaga la vpn [because] el impacto en la productividad al desconectar la VPN es terminal, no es un comienzo”, dijo el copresentador de Risky Business, Adam Boileau, en el programa de esta semana. “Entonces, ¿cómo mitigar el impacto de tener que utilizar un dispositivo de red unido a un dominio en el borde de su red que tendrá un día cero? No hay una buena respuesta”.
El fundador de Risky Business, Patrick Gray, dijo que la pandemia de COVID-19 dio nueva vida a clases enteras de dispositivos de red que dependen de un código que nunca fue diseñado teniendo en cuenta los modelos de amenazas actuales.
“En los años previos a la pandemia, el impulso hacia servidores proxy con reconocimiento de identidad y confianza cero en todo y el alejamiento de este tipo de equipos fue gradual, pero estaba sucediendo”, dijo Gray. “Y luego llegó la COVID-19 y todo el mundo tuvo que ir a trabajar desde casa, y realmente había una opción para empezar rápidamente: implementar concentradores VPN con funciones empresariales”.
Gray dijo que la industria de la seguridad se había centrado en construir la próxima generación de herramientas de acceso remoto que estén más reforzadas en seguridad, pero cuando llegó la pandemia, las organizaciones se apresuraron a improvisar todo lo que pudieron.
“Lo único disponible en el mercado era toda esta vieja porquería que no tiene un control de calidad adecuado, y cada vez que los agitas, los CVE se caen”, comentó Gray, calificando la pandemia como “una inyección en el brazo” para empresas como Fortinet. y Barracuda.
“Vendieron tantas VPN durante la pandemia y esta es la resaca”, dijo Gray. “El COVID-19 alargó la vida de estas empresas y tecnologías, y eso es lamentable”.
Etiquetas #ciberseguridad #borde de la red
Comments
