La NSA advierte que Rusia está atacando plataformas de trabajo remotas

La NSA advierte que Rusia está atacando plataformas de trabajo remotas

Una vulnerabilidad en VMWare ha provocado una advertencia de que las empresas, y las agencias gubernamentales, deben parchear lo antes posible.

 

A LO LARGO DE 2020, Un promedio sin precedentes de los trabajadores de oficina del mundo se han visto obligados a trabajar desde casa como resultado de la pandemia de Covid-19 . Esa dispersión ha creado innumerables oportunidades para los piratas informáticos , que se están aprovechando al máximo. En un aviso de hoy, la Agencia de Seguridad Nacional dijo que los grupos patrocinados por el estado ruso han estado atacando activamente una vulnerabilidad en múltiples plataformas empresariales de trabajo remoto desarrolladas por VMware. La compañía emitió un boletín de seguridad el jueves que detalla parches y soluciones para mitigar la falla, que los actores del gobierno ruso han utilizado para obtener acceso privilegiado a los datos del objetivo.

Las instituciones se han apresurado a adaptarse al trabajo remoto, ofreciendo a los empleados acceso remoto seguro a los sistemas empresariales. Pero el cambio conlleva diferentes riesgos y ha creado nuevas exposiciones frente a las redes de oficinas tradicionales. Las fallas en herramientas como las VPN han sido objetivos especialmente populares, ya que pueden dar a los atacantes acceso a las redes corporativas internas. Un grupo de vulnerabilidades que afectan a Pulse Secure VPN, por ejemplo, se repararon en abril de 2019, pero las agencias de inteligencia y defensa de EE. UU. Como la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron advertencias en octubre de 2019 , y nuevamente en enero y abril , de que los piratas informáticos seguían atacando. organizaciones, incluidas las agencias gubernamentales, que no habían aplicado el parche.

El jueves, CISA emitió un breve aviso alentando a los administradores a parchear la vulnerabilidad de VMware de inmediato. "Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado", dijo la agencia.

Además de advertir al público en general sobre el error de VMware, la NSA enfatizó repetidamente que "alienta a los administradores de red del Sistema de Seguridad Nacional (NSS), el Departamento de Defensa (DOD) y la Base Industrial de Defensa (DIB) a priorizar la mitigación de la vulnerabilidad servidores afectados ".

"Es una de esas cosas en las que el mensajero es notable, así como el mensaje", dice Ben Read, gerente senior de análisis de ciberespionaje en la firma de inteligencia de amenazas FireEye. “Es una vulnerabilidad de ejecución remota de código, es algo que la gente definitivamente quiere parchear, pero estas cosas pasan. Por lo tanto, el hecho de que la NSA quisiera hacer un gran problema al respecto probablemente se base en el hecho de que la gente de Rusia la estaba utilizando en la naturaleza y presumiblemente contra un objetivo que preocupa a la NSA ".

Todos los productos de VMware afectados se relacionan con la infraestructura de la nube y la gestión de identidades, incluido VMware Workspace One Access, su predecesor, VMware Identity Manager y VMware Cloud Foundation. VMware dijo en un comunicado que "tras la notificación del problema, VMware ha trabajado para evaluar este problema y ha proporcionado las actualizaciones y parches adecuados para mitigar este problema".

La compañía señaló en su aviso que califica la gravedad de la falla como "Importante", un paso por debajo de "Crítico", porque los atacantes deben tener acceso a una interfaz de administración protegida por contraseña basada en la web antes de poder explotar la vulnerabilidad. La NSA señala que proteger esta interfaz con una contraseña única y segura , o configurarla para que no sea accesible desde la Internet pública, son dos pasos que pueden reducir el riesgo de ataque. Afortunadamente, VMware no diseñó los sistemas afectados con la opción de usar contraseñas predeterminadas que serían trivialmente fáciles de adivinar para los atacantes.

Una vez que un pirata informático tiene acceso, puede aprovechar la vulnerabilidad para manipular las solicitudes de autenticación llamadas "aserciones SAML" (de Security Assertion Markup Language, un estándar abierto) como una forma de profundizar en la red de una organización. Y pueden usar esa posición para acceder a otros servidores que contienen información potencialmente sensible.

Read de FireEye señala que, si bien el error primero requiere una contraseña legítima para explotar, ese no es un obstáculo insuperable, particularmente para los piratas informáticos rusos que tienen una instalación conocida con técnicas de robo de credenciales como la propagación de contraseñas. “Supongo que la NSA está escribiendo algo porque lo han visto funcionar, incluso si en teoría no es la peor vulnerabilidad que existe”, dice.

Cuando tantos empleados trabajan de forma remota, puede resultar difícil utilizar las herramientas tradicionales de supervisión de la red para señalar comportamientos potencialmente sospechosos. Pero la NSA señala que vulnerabilidades como el error de VMware presentan un desafío único independientemente, porque toda la actividad maliciosa ocurriría en conexiones cifradas a la interfaz web que no se distinguen de los inicios de sesión legítimos. En su lugar, la NSA recomienda que las organizaciones busquen en los registros de sus servidores lo que se conoce como "declaraciones de salida" que pueden indicar actividad sospechosa.

"Supervise regularmente los registros de autenticación para detectar autenticaciones anómalas, especialmente las exitosas que aprovechan los fideicomisos establecidos pero que provienen de direcciones inusuales o contienen propiedades inusuales", escribió la NSA el lunes.

La NSA no dio más detalles sobre su observación de que los actores respaldados por el estado ruso han estado explotando el error de VMware, incluido cuál de los muchos grupos dedicados de Rusia está implicado, pero los piratas informáticos del Kremlin han estado activos durante 2020 en los EE. UU., Comprometiendo al gobierno , al sector energético , y otras redes de infraestructura crítica, así como objetivos de campaña en el período previo a las elecciones presidenciales.

Read de FireEye señala, sin embargo, que ha habido menos revelaciones públicas de ataques de día cero utilizados por piratas informáticos estatales rusos en los últimos años, y los grupos respaldados por el Kremlin favorecen las herramientas conocidas públicamente. Los hallazgos de la NSA indican que los grupos aún están abiertos a desarrollar sus propios exploits.

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos