Los dispositivos de seguridad de red, como los cortafuegos, están destinados a mantener alejados a los piratas informáticos. En cambio, los intrusos digitales los atacan cada vez más como el eslabón débil que les permite saquear los mismos sistemas que esos dispositivos deben proteger. En el caso de una campaña de piratería informática de los últimos meses, Cisco ahora está revelando que sus firewalls sirvieron como cabezas de playa para piratas informáticos sofisticados que penetraron en múltiples redes gubernamentales en todo el mundo.

El miércoles, Cisco advirtió que sus llamados dispositivos de seguridad adaptativos (dispositivos que integran un firewall y VPN con otras características de seguridad) habían sido atacados por espías patrocinados por el estado que explotaron dos vulnerabilidades de día cero en los equipos del gigante de las redes para comprometer objetivos gubernamentales. a nivel mundial en una campaña de piratería que llama ArcaneDoor.

Los piratas informáticos detrás de las intrusiones, que la división de seguridad de Cisco, Talos, llama UAT4356 y que los investigadores de Microsoft que contribuyeron a la investigación llamaron STORM-1849, no pudieron estar claramente vinculados con ningún incidente de intrusión anterior que las empresas hubieran rastreado. Sin embargo, basándose en el enfoque de espionaje y la sofisticación del grupo, Cisco dice que el hackeo parecía estar patrocinado por el estado.

«Este actor utilizó herramientas personalizadas que demostraron un claro enfoque en el espionaje y un conocimiento profundo de los dispositivos a los que apuntaban, características distintivas de un actor sofisticado patrocinado por el estado», se lee en una publicación de blog de los investigadores de Talos de Cisco.

Cisco se negó a decir qué país creía que era responsable de las intrusiones, pero fuentes familiarizadas con la investigación le dijeron a WIRED que la campaña parece estar alineada con los intereses estatales de China.

Cisco dice que la campaña de piratería comenzó en noviembre de 2023, y que la mayoría de las intrusiones tuvieron lugar entre diciembre y principios de enero de este año, cuando se enteró de la primera víctima. «La investigación que siguió identificó víctimas adicionales, todas las cuales involucraban redes gubernamentales a nivel mundial», se lee en el informe de la compañía.

En esas intrusiones, los piratas informáticos explotaron dos vulnerabilidades recientemente descubiertas en los productos ASA de Cisco. Uno, al que llama Line Dancer, permite a los piratas informáticos ejecutar su propio código malicioso en la memoria de los dispositivos de red, permitiéndoles emitir comandos a los dispositivos, incluida la capacidad de espiar el tráfico de la red y robar datos. Una segunda vulnerabilidad, que Cisco llama Line Runner, permitiría que el malware de los piratas informáticos mantuviera su acceso a los dispositivos objetivo incluso cuando se reiniciaran o actualizaran. Aún no está claro si las vulnerabilidades sirvieron como puntos de acceso iniciales a las redes de las víctimas, o cómo los piratas informáticos podrían haber obtenido acceso antes de explotar los dispositivos Cisco.

Cisco ha lanzado actualizaciones de software para parchear ambas vulnerabilidades y aconseja a los clientes que las implementen de inmediato, junto con otras recomendaciones para detectar si han sido atacadas. A pesar del mecanismo de persistencia Line Runner de los piratas informáticos, un aviso separado del Centro Nacional de Ciberseguridad del Reino Unido señala que desconectar físicamente un dispositivo ASA interrumpe el acceso de los piratas informáticos. «Se ha confirmado que un reinicio completo desconectando el enchufe de Cisco ASA evita que Line Runner se reinstale», se lee en el aviso.

La campaña de piratería ArcaneDoor representa solo la última serie de intrusiones dirigidas a aplicaciones del perímetro de la red, a veces denominadas dispositivos «de borde», como servidores de correo electrónico, cortafuegos y VPN (a menudo dispositivos destinados a proporcionar seguridad), cuyas vulnerabilidades permitieron a los piratas informáticos obtener un punto de partida en el interior. la red de una víctima. Los investigadores de Talos de Cisco advierten sobre esa tendencia más amplia en su informe, refiriéndose a redes altamente sensibles que han visto atacadas a través de dispositivos de borde en los últimos años. «Conseguir un punto de apoyo en estos dispositivos permite a un actor ingresar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red», escriben. «En los últimos dos años, hemos visto un aumento dramático y sostenido en la focalización de estos dispositivos en áreas como proveedores de telecomunicaciones y organizaciones del sector energético, entidades de infraestructura crítica que probablemente sean objetivos estratégicos de interés para muchos gobiernos extranjeros».

Los cortafuegos creados por Zyxel se están convirtiendo en una botnet destructiva, que los está controlando al explotar una vulnerabilidad parcheada recientemente con una calificación de gravedad de 9.8 de un máximo de 10.

“En esta etapa, si tiene un dispositivo vulnerable expuesto, asuma compromiso”, funcionarios de Shadowserver, una organización que monitorea las amenazas de Internet en tiempo real, prevenido hace cuatro días. Los funcionarios dijeron que las vulnerabilidades provienen de una botnet similar a Mirai, que aprovecha el ancho de banda colectivo de miles de dispositivos de Internet comprometidos para desconectar sitios con ataques distribuidos de denegación de servicio.

Según los datos de Shadowserver recopilados durante los últimos 10 días, Zyxel fabricó 25 de los 62 principales dispositivos conectados a Internet que realizan «ataques descendentes», es decir, intentar piratear otros dispositivos conectados a Internet, según lo medido por las direcciones IP.

Una vulnerabilidad de gravedad 9.8 en configuraciones predeterminadas

El error de software utilizado para comprometer los dispositivos Zyxel se rastrea como CVE-2023-28771, una vulnerabilidad de inyección de comandos no autenticada con una clasificación de gravedad de 9.8. La falla, que Zyxel reparó el 25 de abril, puede explotarse para ejecutar código malicioso con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo.

La vulnerabilidad crítica existe en las configuraciones predeterminadas del firewall y los dispositivos VPN del fabricante. Incluyen las versiones de firmware de la serie Zyxel ZyWALL/USG de la 4.60 a la 4.73, las versiones de firmware de la serie VPN de la 4.60 a la 5.35, las versiones de firmware de la serie USG FLEX de la 4.60 a la 5.35 y las versiones de firmware de la serie ATP de la 4.60 a la 5.35.

serie afectada	Versión afectada	Disponibilidad de parches
atp	ZLD V4.60 a V5.35	ZLD V5.36
USG FLEX	ZLD V4.60 a V5.35	ZLD V5.36
vpn	ZLD V4.60 a V5.35	ZLD V5.36
ZyWALL/USG	ZLD V4.60 a V4.73	ZLD V4.73 Parche 1

El miércoles, la Agencia de Seguridad de Infraestructura y Ciberseguridad colocó CVE-2023-28771 en su lista de vulnerabilidades explotadas conocidas. La agencia ha dado a las agencias federales hasta el 21 de junio para reparar cualquier dispositivo vulnerable en sus redes.

El investigador de seguridad Kevin Beaumont también ha estado advirtiendo sobre la explotación generalizada de la vulnerabilidad desde la semana pasada.

“Esta vulnerabilidad de #Zyxel está siendo explotada masivamente ahora por la red de bots Mirai”, escribió en Mastodon. «Se posee una tonelada de cajas VPN para PYMES».

Las mediciones del motor de búsqueda Shodan muestran casi 43 000 instancias de dispositivos Zyxel expuestos a Internet.

“Este número solo incluye dispositivos que exponen sus interfaces web en la WAN, que no es una configuración predeterminada”, dijo Rapid7, usando la abreviatura de red de área amplia, la parte de la red de una empresa a la que se puede acceder a través de Internet. “Dado que la vulnerabilidad está en el servicio VPN, que está habilitado de forma predeterminada en la WAN, esperamos que la cantidad real de dispositivos expuestos y vulnerables sea mucho mayor”.

Una VPN, abreviatura de red privada virtual, no necesita configurarse en un dispositivo para que sea vulnerable, dijo Rapid7. Los dispositivos Zyxel han sido durante mucho tiempo los favoritos para la piratería porque residen en el borde de una red, donde las defensas suelen ser más bajas. Una vez infectados, los atacantes usan los dispositivos como una plataforma de lanzamiento para comprometer otros dispositivos en Internet o como un punto de apoyo que puede usarse para propagarse a otras partes de la red a la que pertenecen.

Si bien la mayor parte del enfoque está en CVE-2023-28771, Rapid7 advirtió sobre otras dos vulnerabilidades, CVE-2023-33009 y CVE-2023-33010, que Zyxel parchó la semana pasada. Ambas vulnerabilidades también tienen una calificación de gravedad de 9.8.

Dado que las infecciones de CVE-2023-28771 siguen ocurriendo cinco semanas después de que Zyxel lo arregló, está claro que muchos propietarios de dispositivos no están instalando actualizaciones de seguridad de manera oportuna. Si la mala higiene de los parches se traslada a las vulnerabilidades corregidas más recientemente, es probable que pronto ocurran más compromisos de Zyxel.

Fortinet ha parcheado una vulnerabilidad de alta gravedad en múltiples servicios que permitía el acceso remoto de los actores de amenazas y estaba siendo abusada en la naturaleza.

En un aviso de seguridad publicado a fines de la semana pasada, la compañía describió la falla como una omisión de autenticación en la interfaz de administración, lo que permite a las personas no autenticadas iniciar sesión en los firewalls FortiGate, los proxies web FortiProxy (se abre en una pestaña nueva)y las instancias de administración locales de FortiSwitch Manager.

ALERTAS DE FRAUDE ACTUALES

28 SEP 2022 a las 8:44

Sophos advierte sobre una vulnerabilidad crítica en sus propios firewalls que ya está siendo explotada por piratas informáticos. Ya hay una manera de protegerse.

Los cortafuegos de Sophos se caracterizan por una amplia protección y numerosas funciones. Por eso se utilizan con tanta frecuencia en las empresas. Los productos de Sophos actualmente se ven afectados por una vulnerabilidad crítica que los piratas informáticos ya están explotando para atacar los sistemas.

Según los expertos en seguridad del fabricante, las versiones de firewall 9.0 MR1 (19.0.1) y anteriores están afectadas por la vulnerabilidad (CVE-2022-3236). Los piratas informáticos pueden infectar su sistema con código malicioso a través del portal de usuario y la interfaz de administración web.

La vulnerabilidad ya ha sido explotada para ataques de algunas organizaciones en el sur de Asia. Sophos se puso en contacto con los afectados de inmediato. Se esperan más detalles sobre el incidente a medida que avanza la investigación. Para que tú también no seas víctima de un ataque, debes actuar ahora.

Sophos proporciona una actualización de revisión que cierra la brecha y se instala automáticamente. El fabricante recomienda una actualización cuando se utilizan versiones anteriores. Como alternativa, los administradores pueden asegurarse de que el portal de usuario y la interfaz de administración web no estén expuestos a la WAN. Esto es posible con una VPN, por ejemplo.

También interesante…