Inicio / Alertas / CISA advierte que las Puse Secure VPN aún parchadas podrían exponer a las organizaciones a los piratas informáticos

CISA advierte que las Puse Secure VPN aún parchadas podrían exponer a las organizaciones a los piratas informáticos

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) emitió ayer un nuevo aviso que advierte a las organizaciones que cambien todas sus credenciales de Active Directory como defensa contra los ataques cibernéticos que intentan aprovechar una vulnerabilidad conocida de ejecución remota de código (RCE) en los servidores Pulse Secure VPN, incluso si ya lo han parchado.

La advertencia llega tres meses después de otra alerta de CISA que insta a los usuarios y administradores a parchear entornos Pulse Secure VPN para frustrar los ataques que explotan la vulnerabilidad.

“Los ciberdeliencuentes que explotaron con éxito CVE-2019-11510 y robaron las credenciales de una organización víctima aún podrán acceder, y moverse lateralmente, a la red de esa organización después de que la organización haya parcheado esta vulnerabilidad si la organización no cambió esas credenciales robadas”. Dijo CISA.

CISA también ha lanzado una herramienta para ayudar a los administradores de red a buscar cualquier indicador de infraestructura comprometida asociada con la falla.

Un error de ejecución remota de código

Identíficada cómo CVE-2019-11510, la vulnerabilidad de lectura de archivos arbitrarios previa a la autenticación podría permitir a los atacantes remotos no autenticados comprometer los servidores VPN vulnerables y obtener acceso a todos los usuarios activos y sus credenciales en texto plano, y ejecutar comandos arbitrarios.

pulse secure vpn vulnerability

La falla se debe al hecho de que el path del directorio está hardcodeado para aceptar una ruta que contiene “dana/html5/acc”, esto lo que permite es que un atacante envíe una URL especialmente diseñada para leer archivos confidenciales, como “/ etc / passwd” que contiene información sobre cada usuario en el sistema.

Para abordar este problema, Pulse Secure lanzó un parche fuera de fecha el 24 de abril de 2019.

pulse secure vpn vulnerability

Mientras que el 24 de agosto de 2019, la empresa de seguridad Bad Packets pudo descubrir 14.528 servidores Pulse Secure sin parches. Un escaneo posterior a partir del mes pasado arrojó 2.099  vulnerables, lo que indica que la gran mayoría de las organizaciones han parcheado sus servidores de VPN.

Los servidores VPN sin parches se convierten en un objetivo lucrativo

El hecho de que todavía haya más de miles de servidores Pulse Secure VPN sin parches los ha convertido en un objetivo lucrativo para que los ciberdelincuentes distribuyan malware.

Un informe de ClearSky encontró a piratas informáticos patrocinados por el estado iraní que utilizan CVE-2019-11510, entre otros, para penetrar y robar información de empresas de TI y telecomunicaciones en todo el mundo.

Según un aviso de la NSA de octubre de 2019, el “código del exploit está disponible gratuitamente en línea a través del marco Metasploit, así como GitHub. Los ciberdelincuentes están utilizando activamente este código”.

En una alerta similar emitida el año pasado, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtió que los grupos de amenazas avanzadas están explotando la vulnerabilidad para atacar a organizaciones gubernamentales, militares, académicas, comerciales y de atención médica.

Más recientemente, Travelex, la firma de seguros de viaje y cambio de divisas, se convirtió en una víctima después de que los cibercriminales plantaron el ransomware Sodinokibi (REvil) en las redes de la compañía a través de la vulnerabilidad Pulse Secure. Aunque los operadores de ransomware exigieron un rescate de $ 6 millones (£ 4.6 millones), un informe del Wall Street Journal la semana pasada dijo que pagó $ 2.3 millones en forma de 285 Bitcoin para resolver su problema.

Ante los ataques en curso, se recomienda que las organizaciones actualicen su Pulse Secure VPN, restablezcan sus credenciales y busquen solicitudes de registro no autenticadas e intentos de explotación.

CISA también sugirió eliminar los programas de acceso remoto no aprobados e inspeccionar las tareas programadas en busca de scripts o ejecutables que puedan permitir que un atacante se conecte a un entorno.

Para obtener más pasos para mitigar la falla, diríjase al aviso de la NSA aquí.

 

Vea También

Peligroso troyano bancario dirigido a Brasil es descubierto en Google Play

Los investigadores de ESET han analizado una aplicación para Android extremadamente peligrosa que puede realizar …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.