Los defectos de VPN sin parches pueden ayudar a los piratas informáticos a atacar a las empresas, advertir a la NSA y a la NCSC

Las investigaciones realizadas por la NSA (Agencia de Seguridad Nacional) y el NCSC (Centro Nacional de Seguridad Cibernética) revelaron que ciertos servicios VPN (Red Privada Virtual) podrían estar bajo ataque de grupos cibercriminales conocidos como APT ( Amenaza Persistente Avanzada ). Sin embargo, es posible que diferentes equipos de hackers también puedan estar interesados en atacar VPN vulnerables. Como resultado, muchas empresas internacionales que utilizan dichos servicios podrían estar en peligro, por lo que los especialistas en ciberseguridad recomiendan tomar medidas inmediatas. En esta publicación de blog, discutimos qué aplicaciones están dirigidas y qué hace que VPN sea vulnerable. Además, si continúa leyendo, puede averiguar qué debe hacer si su empresa está utilizando uno de los servicios VPN vulnerables. Si tiene alguna pregunta sobre los defectos de VPN discutidos, podemos ofrecer nuestra sección de comentarios que se puede encontrar al final de esta página.

¿Qué hace que la VPN sea vulnerable y qué servicios podrían estar bajo ataque?

Pulse Secure , Fortinet y Palo Alto son las compañías que brindan servicios VPN, que están dirigidos por hackers APT. Además, se observó que los ciberdelincuentes persiguen a empresas que trabajan en los siguientes sectores: gobierno, militar, educación, negocios y atención médica. Es probable que su objetivo sea obtener acceso a los sistemas de las organizaciones, por ejemplo, para obtener información confidencial o eliminar software malicioso.

Según NCSC , los piratas informáticos son conscientes de las fallas particulares de VPN que tienen las herramientas enumeradas. La herramienta VPN proporcionada por Pulse Secure tiene dos debilidades llamadas CVE02019-11510 y CVE-2019-11539 , que pueden permitir a los atacantes remotos leer archivos arbitrarios o ejecutar comandos a través de la interfaz de administración. El producto VPN de Fortinet tiene tres fallas llamadas CVE-2018-13379 , CVE-2018-13382 y CVE-2018-13383 . Como puede ver, los defectos enumerados no son nuevos, ya que se descubrieron en 2018. Sin embargo, podría haber usuarios que aún no los hayan reparado.

Otra cosa que debe saber sobre las fallas de VPN de Fortinet es que pueden permitir que los atacantes lean archivos arbitrarios, cambien las contraseñas de los usuarios del portal web SSL VPN y ejecuten shell en un enrutador. En cuanto a aquellos que usan los servicios de Palo Alto, podrían estar contentos de saber que esta VPN solo tiene un defecto que los piratas informáticos ATP podrían explotar. Se llama CVE-2019-1579 , y puede permitir a los atacantes ejecutar código arbitrario. La explotación de la ejecución de código arbitrario podría permitir a los atacantes obtener los mismos privilegios que podría tener un usuario de una aplicación específica o un sistema. Por ejemplo, si los piratas informáticos explotan tal falla en el software de VPN, podrían cambiar su configuración, ver registros o hacer cualquier otra cosa que un usuario pueda hacer.

¿Cómo deshacerse de los defectos de VPN?

Las fallas de VPN se pueden resolver de la misma manera que cualquier otra debilidad de software. Por lo general, una vez que una empresa se da cuenta de una vulnerabilidad, una organización busca una forma de solucionarla. Después de encontrar una solución, aparece un parche o una actualización que los usuarios de un producto pueden descargar. Si bien algunas herramientas informan a los usuarios sobre las debilidades y parches que se pueden aplicar, a veces los usuarios tienen que descubrirlos por su cuenta, por ejemplo, mientras visitan el sitio web de una empresa.

Las seis fallas de VPN encontradas en los productos Pulse Secure, Fortinet y Palo Alto fueron reparadas hace algún tiempo. Ya sea que haya sido notificado sobre los parches necesarios, pero decidió omitir la instalación de ellos, o si aún no ha escuchado sobre estos parches, le recomendamos que los aplique lo antes posible. Por supuesto, en el futuro, siempre debe instalar actualizaciones de inmediato si desea que sus dispositivos y sistemas estén seguros.

¿Cómo determinar si sus fallas de VPN podrían haber sido explotadas?

Si su aplicación VPN no se ha parcheado durante bastante tiempo, los especialistas en ciberseguridad recomiendan tomar precauciones adicionales. Lo que significa que no solo debe aplicar parches que solucionen los defectos de su VPN, sino que también investigue las actividades relacionadas con su VPN para buscar pruebas de una violación. A continuación puede ver consejos de NCSC sobre cómo encontrar evidencia de VPN comprometidas.

Pulse Connect

Se recomienda a las organizaciones que utilizan los servicios VPN de esta empresa que busquen conexiones a URL sospechosas. Para hacerlo, los especialistas recomiendan realizar una solicitud HTTPS a la interfaz web directamente y no a través de la VPN. Si tales actividades aparecen en los registros de eventos, es recomendable verificar en los registros de búsqueda las direcciones URL que contienen signos de interrogación y que terminan en / dana / html5acc / guacamole . Además, los especialistas recomiendan buscar solicitudes a /dana-admin/diag/diag.cgi . Si se encuentran dichos datos y datan antes de los parches para las debilidades CVE02019-11510 y CVE-2019-11539, es posible que un sistema se vea comprometido.

Fortigate

Parece que los piratas informáticos que podrían estar explotando la debilidad CVE-2018-13379 podrían descargar un archivo llamado sslvpn_websession . Los expertos en ciberseguridad dicen que debe contener contraseñas y nombres de usuario de todos los usuarios activos, y el tamaño del archivo debe ser de aproximadamente 200 KB. Otra forma de verificar si los piratas informáticos podrían haber explotado los defectos de VPN de una empresa es investigar los registros del firewall o los registros de Netflow si un programa se configuró para registrarlos. Para ser más precisos, los especialistas aconsejan buscar sesiones TCP con 200.00-250.000 bytes desde el puerto de interfaz web SSL VPN al cliente, lo que podría proporcionar evidencia de explotación.

palo Alto

Se recomienda a las organizaciones que podrían haber utilizado herramientas VPN sin parches de esta compañía que busquen fallas en los registros de software. Aparentemente, los intentos fallidos de explotar esta VPN podrían ser visibles en sus registros, y es lo único que podría ayudar a determinar si un sistema podría verse comprometido.

¿Qué hacer si descubres que tus defectos de VPN fueron explotados?

Los especialistas en ciberseguridad aconsejan revocar las credenciales de inicio de sesión en riesgo y restablecer las credenciales de autenticación. A continuación, se aconseja a las víctimas que verifiquen las opciones de configuración de la aplicación violada y busquen cambios no autorizados que, si se encuentran, deben restaurarse. Como precaución adicional, las compañías podrían habilitar la autenticación de dos factores y deshabilitar cualquier puerto o función en sus VPN que no usen o necesiten. Por supuesto, también sería inteligente continuar monitoreando el tráfico de red y el VNP registra actividades sospechosas para evitar nuevos ataques. Como último recurso, los expertos en seguridad cibernética sugieren que se eliminen los dispositivos comprometidos si una empresa sospecha de una violación, pero no puede encontrar evidencia de piratería y no quiere correr ningún riesgo.

En general, el uso de una VPN puede ayudar a las empresas a proteger sus sistemas de los cibercriminales. Sin embargo, es esencial asegurarse de que no haya fallas de VPN, ya que es lo que hace que VPN sea vulnerable. Por lo tanto, los expertos en ciberseguridad recomiendan verificar regularmente nuevos parches y actualizaciones. Cuanto antes se instalen, menores son las posibilidades de que los piratas informáticos puedan explotar las debilidades sin parches. Probablemente, la forma más fácil de asegurarse de que los servicios de VPN que utiliza su empresa estén siempre actualizados es contratar a un equipo de TI que se asegure de que su VPN, así como otro software, se reparen y actualicen a tiempo. Para obtener más información sobre las fallas de las VPN empresariales, recomendamos leer aquí .

December 11, 2019
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.