1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. La Orden CISA Destaca el Riesgo Persistente en el Borde de la Red

La Orden CISA Destaca el Riesgo Persistente en el Borde de la Red

La agencia del gobierno de los Estados Unidos a cargo de mejorar la postura de ciberseguridad de la nación está ordenando a todas las agencias civiles federales que tomen nuevas medidas para restringir el acceso a equipos de red expuestos a Internet. La directiva se produce en medio de un aumento en los ataques dirigidos a vulnerabilidades previamente desconocidas en dispositivos de seguridad y redes ampliamente utilizados.

Bajo un nuevo orden desde el Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), las agencias federales tendrán 14 días para responder a cualquier informe de CISA sobre equipos de red mal configurados o expuestos a Internet. La directiva se aplica a cualquier dispositivo de red, como firewalls, enrutadores y equilibradores de carga, que permitan la autenticación o administración remota.

La orden requiere que los departamentos federales limiten el acceso para que solo los usuarios autorizados en la red local o interna de una agencia puedan acceder a las interfaces de administración de estos dispositivos. El mandato de CISA sigue a una serie de ataques recientes en los que los atacantes explotaron fallas de día cero en productos de red populares para llevar a cabo ataques de ransomware y ciberespionaje contra organizaciones víctimas.

Hoy temprano, la firma de respuesta a incidentes Mandiant revelado que desde al menos octubre de 2022, los ciberespías chinos han estado explotando una vulnerabilidad de día cero en muchos dispositivos de puerta de enlace de seguridad de correo electrónico (ESG) vendidos por empresas con sede en California Redes Barracuda para aspirar el correo electrónico de las organizaciones que utilizan estos dispositivos.

Barracuda fue alertado de la explotación de un día cero en sus productos a mediados de mayo, y dos días después la compañía lanzó una actualización de seguridad para abordar la falla en todos los dispositivos afectados. Pero la semana pasada, Barracuda tomó el paso muy inusual de ofrecer reemplazar ESG comprometidos, evidentemente en respuesta al malware que alteró los sistemas de una manera tan fundamental que ya no podían protegerse de forma remota con actualizaciones de software.

Según Mandiant, un grupo de hackers chinos previamente no identificado fue responsable de explotar la falla Barracuda, y parecía estar buscando en los registros de correo electrónico de la organización de víctimas cuentas "pertenecientes a personas que trabajan para un gobierno con interés político o estratégico para [China] mientras este gobierno víctima participaba en reuniones diplomáticas de alto nivel con otros países.”

Cuando los expertos en seguridad comenzaron a dar la alarma sobre un posible día cero en los productos de Barracuda, el grupo de piratería chino alteró sus tácticas, técnicas y procedimientos (TTPs) en respuesta a los esfuerzos de Barracuda para contener y remediar el incidente, descubrió Mandiant.

Mandiant dijo que los atacantes continuarán cambiando sus tácticas y malware, " especialmente a medida que los defensores de la red continúen tomando medidas contra este adversario y su actividad sea expuesta aún más por la comunidad de seguridad de la información.”

Mientras tanto, esta semana conocimos más detalles sobre la explotación en curso de una falla de día cero en una amplia gama de productos de redes privadas virtuales (VPN) fabricados por Fortinet - dispositivos en los que confían muchas organizaciones para facilitar el acceso remoto a la red para los empleados.

El 11 de junio, Fortinet lanzó media docena de actualizaciones de seguridad para su FortíOS firmware, incluida una debilidad que, según los investigadores, permite a un atacante ejecutar malware en prácticamente cualquier dispositivo Fortinet SSL VPN. Los investigadores encontrado el solo hecho de poder acceder a la interfaz de administración de un dispositivo Fortinet SSL VPN vulnerable fue suficiente para comprometer por completo los dispositivos.

"Esta es una autenticación previa accesible, en cada dispositivo VPN SSL", investigador francés de vulnerabilidades Charles Fol tuiteó. "Parche su #Fortigate.”

En detalles publicado el 12 de junio, Fortinet confirmó que una de las vulnerabilidades (CVE-2023-27997) está siendo explotada activamente. La compañía dijo que descubrió la debilidad en una auditoría interna de código que comenzó en enero de 2023, cuando se enteró de que los piratas informáticos chinos estaban explotando un defecto diferente de día cero en sus productos.

Shodan.io, el motor de búsqueda creado para encontrar dispositivos de Internet de las Cosas, informes que actualmente hay más de medio millón de dispositivos Fortinet vulnerables a los que se puede acceder a través de Internet público.

La nueva directiva de ciberseguridad de CISA ordena a las agencias eliminar cualquier interfaz de administración de dispositivos de red de Internet haciéndolos accesibles solo desde una red empresarial interna (CISA recomienda una red de administración aislada). CISA también dice que las agencias deben " implementar capacidades, como parte de una arquitectura de Confianza Cero, que imponga el control de acceso a la interfaz a través de un punto de aplicación de políticas separado de la interfaz en sí (acción preferida).”

Los expertos en seguridad dicen que la directiva de CISA destaca la realidad de que los ciberespías y las pandillas de ransomware están haciendo que sea cada vez más riesgoso para las organizaciones exponer cualquiera dispositivos a la Internet pública, porque estos grupos tienen fuertes incentivos para sondear dichos dispositivos en busca de vulnerabilidades de seguridad previamente desconocidas.

El ejemplo más evidente de esta dinámica se puede ver en la frecuencia con la que los grupos de ransomware han descubierto y atacado fallas de día cero en aplicaciones de protocolo de transferencia de archivos (FTP) ampliamente utilizadas. Una banda de ransomware en particular — Cl0p - ha explotado repetidamente errores de día cero en varios dispositivos FTP para extorsionar a decenas de millones de dólares de cientos de víctimas de ransomware.

El 2 de febrero, KrebsOnSecurity dio la noticia que los atacantes estaban explotando una vulnerabilidad de día cero en el GoAnywhere Dispositivo FTP por Fortra. Cuando las actualizaciones de seguridad estaban disponibles para corregir la vulnerabilidad, Cl0p ya la había utilizado para robar datos de más de cien organizaciones que ejecutaban el dispositivo FTP de Fortra.

Según CISA, el 27 de mayo, Cl0p comenzó a explotar una falla previamente desconocida en Transferencia de MOVEit, una popular aplicación de transferencia de archivos orientada a Internet. Padres de MOVEit Software de Progreso desde entonces, ha lanzado actualizaciones de seguridad para abordar la debilidad, pero Cl0p reclamaciones ya lo he usado para comprometer a cientos de organizaciones de víctimas. TechCrunch ha estado rastreando las consecuencias de las organizaciones de víctimas, que van desde bancos y proveedores de seguros hasta universidades y entidades de salud.

El podcast semanal de noticias de seguridad siempre actualizado Negocios Arriesgados recientemente, ha instado a las organizaciones a deshacerse de todos y cada uno de los dispositivos FTP, señalando que es probable que Cl0p (u otra banda criminal) reciba el mismo tratamiento en otros proveedores de dispositivos FTP.

Pero ese buen consejo no se escala exactamente para dispositivos de red de nivel medio como Barracuda ESG o Fortinet SSL VPN, que son particularmente prominentes en organizaciones pequeñas y medianas.

"No es como los servicios FTP, no se puede decirle a una empresa [que] apague la VPN [porque] el golpe de productividad de desconectar la VPN es terminal, no es un arranque", coanfitrión de Risky Business Adam Boileau dicho en el espectáculo de esta semana. "Entonces, ¿cómo mitigar el impacto de tener que usar un dispositivo de red unido a un dominio en el borde de su red que va a ser de día cero? No hay una buena respuesta.”

Fundador de Risky Business Patrick Gray dijo que la pandemia de COVID-19 dio nueva vida a clases enteras de dispositivos de red que dependen de un código que nunca se diseñó teniendo en cuenta los modelos de amenazas actuales.

"En los años previos a la pandemia, el impulso hacia los proxies conscientes de la identidad y la confianza cero en todo y el alejamiento de este tipo de equipos fue gradual, pero estaba sucediendo", dijo Gray. "Y luego llegó el COVID-19 y todos tuvieron que ir a trabajar desde casa, y realmente había una opción para ponerse en marcha rápidamente, que era implementar concentradores VPN con funciones empresariales.”

Gray dijo que la industria de la seguridad se había centrado en crear la próxima generación de herramientas de acceso remoto que son más resistentes a la seguridad, pero cuando la pandemia golpeó a las organizaciones, se apresuraron a improvisar todo lo que pudieron.

"Lo único disponible en el mercado era toda esta basura vieja que no se controla adecuadamente, y cada vez que los sacudes, los CVE se caen", comentó Gray, llamando a la pandemia, "un tiro en el brazo" para compañías como Fortinet y Barracuda.

"Vendieron tantas VPN durante la pandemia y esta es la resaca", dijo Gray. "COVID-19 extendió la vida de estas compañías y tecnologías, y eso es desafortunado.”



>>Más