Los actores de amenazas han encontrado un método eficiente para violar las redes gubernamentales. Combinando vulnerabilidades de VPN y Windows, han obtenido acceso al estado, local, tribal, y redes de gobierno territorial.
La información proviene de una alerta de seguridad publicada por el FBI y CISA..
Según CISA, en algunos casos, los atacantes han obtenido acceso no autorizado a los sistemas de apoyo a las elecciones. Sin embargo, la agencia no tiene información confirmada de que la integridad de los datos electorales se haya visto comprometida.
“Aunque no parece que estos objetivos se estén seleccionando debido a su proximidad a la información electoral, Puede haber algún riesgo para la información electoral almacenada en las redes gubernamentales.,” la alerta de seguridad dice.
Qué vulnerabilidades han estado explotando los atacantes?
Se encadenaron dos fallas de seguridad específicas – CVE-2018-13379 y CVE-2020-1472. La primera vulnerabilidad se encuentra en Fortinet FortiOS Secure Socker Layer (SSL) VPN. La aplicación es un servidor VPN local que sirve como puerta de enlace segura para acceder a las redes empresariales desde ubicaciones remotas.. Es una vulnerabilidad de recorrido de ruta en el portal web FortiOS SSL VPN que podría permitir a atacantes no autenticados descargar archivos a través de solicitudes de recursos HTTP especialmente diseñadas..
CVE-2020-1472 es una falla de elevación de privilegios que existe cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio. Esto podría suceder utilizando el protocolo remoto Netlogon (MS-NRPC). Como resultado de un exploit exitoso, el atacante podría ejecutar una aplicación especialmente diseñada en un dispositivo en la red objetivo. La vulnerabilidad también se conoce como Zerologon..
Según la alerta de seguridad conjunta, los atacantes utilizan las dos vulnerabilidades en combinación. No hay información sobre los atacantes, pero los investigadores dicen que los grupos APT están detrás de ellos..
Otras vulnerabilidades podrían estar encadenadas con CVE-2020-1472
Estas no son las únicas vulnerabilidades que los grupos APT pueden aprovechar.. Los investigadores del FBI y CISA dicen que los atacantes pueden reemplazar el error de Fortinet con otras fallas similares que permiten el acceso inicial a los servidores., tal como:
- CVE-2019-11510 en Pulse Secure “Conectar” VPN empresariales
- CVE-2019-1579 en Palo Alto Networks “Protección global” Servidores VPN
- CVE-2019-19781 en Citrix “ADC” servidores y puertas de enlace de red Citrix
- CVE-2020-15505 en servidores de administración de dispositivos móviles MobileIron
- CVE-2020-5902 en balanceadores de red F5 BIG-IP
Cualquiera de los defectos enumerados se puede encadenar con el error Zerologon, los investigadores advirtieron.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: