Se han encontrado grupos de piratas informáticos a utilizar el software VPN anticuado y exploits específicos que se encuentran en ellos para espiar a las víctimas. Esto es de acuerdo a varios informes de las agencias de seguridad del gobierno. Esto es particularmente peligroso como los colectivos criminales pueden utilizar esto en contra de las redes estatales o empresas.
Vulnerables software VPN utiliza para espiar a los usuarios
Los piratas informáticos están explotando software de VPN con el fin de tomar el control de las redes que son propiedad de las empresas de alto perfil y los objetivos del gobierno. La noticia se produce fuera de la NCSC (Centro Nacional de Seguridad Cibernética) del Reino Unido que ha informado sobre el tema. Se han detectado varios casos grupos de piratas informáticos están explotando activamente los productos más populares, incluyendo los de los vendedores bien conocidos, tales como seguro de pulso, Palo Alto y Fortinet. Los criminales parecen estar dirigidas actualmente ambas organizaciones internacionales y las redes específicas que se encuentran en el Reino Unido. El NCSC listas que los sectores en los que operan a través de rango militar, académico, industrias de la salud y de negocios a las redes del gobierno.
Los temas que se apuntan son principalmente información públicamente disponible de exploits. Los delincuentes utilizan los conocimientos adquiridos para superar la protección del software y romper el mecanismo de autenticación. Una vez que los piratas informáticos están en serán capaces de conectar al cliente VPN, modificar la configuración de usuario o redirigir el tráfico a los servidores controlados por los criminales.
El software VPN Exploits ampliamente utilizado
Los investigadores de seguridad han puesto de manifiesto algunas de las hazañas más utilizados que están siendo utilizados por los atacantes para romper las redes. La forma más común de hacer esto es para cargar la adecuada explotación de un conjunto de herramientas de hacking automatizada y personalizarlo en consecuencia.
Para Pulso cuate seguro:
- CVE-2.019-11.510 - Esta es una lectura defectuosa archivo arbitrario que se realiza antes de que se inicie el procedimiento de autenticación. Se puede detectar mediante la búsqueda en los archivos de registro para las direcciones URL que contienen la “?” cuerdas y terminando con el siguiente: /Dana / html5acc / guacamole / (Expresión regular: \?.*Dana / html5acc / guacamole /. Esto puede indicar que un ataque se ha hecho.
- CVE-2019 a 11539 - Esto es un error inyección de comandos. Los administradores de seguridad pueden comprobar si se han visto afectados por la búsqueda de solicitudes a la siguiente /dana-admin/diag/diag.cgi archivo con opciones = parámetro en la URL. Exploits es casi seguro que contendrá los siguientes argumentos: -r, # o 2>.
Las soluciones que se ofrecen por Fortinet se han encontrado vulnerables a las siguientes brechas:
- CVE-2018 a 13379 - Esta es la lectura de archivos de archivos que se realiza antes de que el proceso de autenticación.
- CVE-2018 hasta 13382 - Esto permite a los piratas informáticos que no han pasado la autenticación para cambiar las credenciales de los usuarios del portal web de VPN.
- CVE-2018-13383 - Esto es un error de desbordamiento de pila. Cuando explotada que permite a los piratas informáticos acceder a la línea de comandos de los sistemas de víctima.
Finalmente, el producto ofrecido por VPN Palo Alto Se ha encontrado que son víctimas de CVE-2019-1579 que es un problema en el Portal Global Protect.
los administradores del equipo se les insta a proteger sus redes mediante la aplicación de las últimas actualizaciones de sus instalaciones VPN. Esto protegerá el software desde que se vieron afectados por la debilidad. Sin embargo, para proteger mejor a sí mismos también pueden tomar otras medidas, así. Esto incluye el reconfiguración de los clientes locales. Los administradores del sistema pueden tener que repasar las claves SSH de autorización y las reglas de iptables para comprobar si hay alguna posibilidad de secuestrar los sistemas. Sería aconsejable ir a través de los archivos de registro y seguimiento de cualquier actividad sospechosa y bloquear las direcciones IP de los intrusos. En algunas situaciones puede ser útil para limpiar la memoria y el restablecimiento de fábrica de los dispositivos. Un buen consejo es también para permitir autenticación de dos factores y desactivar todos los servicios innecesarios.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: