Cómo visitar un sitio confiable podría afectar a sus empleados

Ciberseguridad


La dinámica ingeniosa y peligrosa de los ataques de abrevaderos

Un grupo de investigadores publicó recientemente hallazgos de una explotación de múltiples vulnerabilidades de Iphone usando sitios web para infectar objetivos finales. El concepto clave detrás de este tipo de ataque es el uso de sitios web confiables como una plataforma intermedia para atacar a otros, y se determine como un ataque a un pozo de agua.

¿Como funciona?

Su organización es una fortaleza impenetrable que ha implementado todas las medidas de ciberseguridad. Los malos actores están teniendo dificultades para tratar de comprometer sus sistemas. Pero, ¿qué pasa si el eslabón más débil no es su organización, sino un tercero? Ahí es donde un «visitas a islas» El ataque puede desarmar tu fortaleza.

El “salto de isla” fue una estrategia militar destinada a concentrar los esfuerzos en islas estratégicamente posicionadas (y más débiles) para obtener acceso a un objetivo last de tierra principal.

Una instancia relevante de «salto de isla» es un ataque a un pozo de agua. Un ataque a un pozo de agua está motivado por la frustración de los atacantes. Si no pueden llegar a un objetivo, ¿pueden comprometer a uno secundario más débil para obtener acceso al objetivo? Los empleados de una organización interactúan con sitios world-wide-web y servicios de terceros todo el tiempo. Podría ser con un proveedor, una entidad en la cadena de suministro, o incluso con un sitio internet disponible al público. Aunque su organización puede tener una protección de perímetro de seguridad de vanguardia, los terceros con los que interactúa pueden no tenerla.

En este tipo de ataque, los malos actores comienzan a identificar a los empleados para averiguar qué sitios web / servicios suelen consumir. ¿Cuál es el site de noticias más frecuentado? ¿Qué compañía de vuelo prefieren? ¿Qué proveedor de servicios utilizan para verificar los talones de pago? ¿En qué tipo de industria es la organización objetivo y cuáles son los intereses profesionales de sus empleados, etc.?

Sobre la foundation de este perfil, analizan cuál de los muchos sitios web visitados por los empleados es débil y susceptible. Cuando encuentran uno, el siguiente paso es comprometer este sitio world-wide-web de terceros al inyectar código malicioso, alojar malware, infectar descargas existentes / confiables o redirigir al empleado a un sitio de phishing para robar credenciales. Una vez que el sitio se ha visto comprometido, esperarán a que un empleado de la organización objetivo lo visite y se infecte, a veces impulsado por un incentivo como un correo electrónico de phishing enviado a los empleados. A veces, esto requiere algún tipo de interacción, como que el empleado use un formulario de carga de archivos, descargue un informe PDF de confianza anterior o intente iniciar sesión en un sitio de phishing después de una redirección desde el legítimo. Finalmente, los malos actores se moverán lateralmente desde el dispositivo del empleado infectado a los objetivos finales deseados.

Figura 1: Dinámica de ataque del pozo de riego

Las víctimas de un ataque a un pozo de agua no solo son los objetivos finales, sino también las organizaciones estratégicas que participan en la cadena de ataque. Como ejemplo, se descubrió un ataque a un pozo de agua en marzo de 2019, dirigido a los estados miembros de las Naciones Unidas al comprometer a la Organización de Aviación Civil Internacional (OACI) como objetivo intermedio (1). Como la OACI period un sitio net frecuentado por los objetivos previstos, se vio comprometida por la explotación de servidores vulnerables. Otro ejemplo del año pasado es un grupo de más de 20 sitios world-wide-web de noticias y medios que se comprometieron como objetivos intermedios para alcanzar objetivos específicos en Vietnam y Camboya (2).

Análisis de riesgo

Debido a que este tipo de ataque se basa en sitios de terceros vulnerables pero confiables, generalmente pasa desapercibido y no se vincula fácilmente con más violaciones de datos. Para asegurarse de que esta amenaza potencial se esté considerando en su análisis de riesgos, estas son algunas de las preguntas que debe hacer:

  • ¿Qué tan seguros son los sitios website y los servicios de las entidades con las que interactúo?
  • ¿Están los intereses de seguridad de terceros alineados con los míos? (Sugerencia: ¡probablemente no! Puede estar apresurándose a parchar su servidor web, pero eso no significa que un sitio de terceros esté haciendo lo mismo).
  • ¿Cuál sería el impacto de un ataque a un pozo de agua para mi organización?

Al igual que con todas las amenazas, es importante analizar tanto la probabilidad de esta amenaza como lo difícil que sería para los atacantes implementarla. Esto variará de una organización a otra, pero un enfoque genérico es analizar los sitios net más populares. Al revisar los principales sitios world wide web de un millón en todo el mundo, es interesante observar que alrededor del 60% (3) de estos están utilizando sistemas de gestión de contenido (CMS) como WordPress, Joomla o Drupal.

Esto crea un desafío adicional ya que estos CMS populares son estadísticamente más propensos a estar presentes en el tráfico de crimson de una organización y, por lo tanto, tienen más probabilidades de ser blanco de un ataque a un pozo de agua. No es sorprendente que se descubran y exploten docenas de vulnerabilidades en los CMS cada mes (se descubrieron alrededor de 1000 vulnerabilidades en los últimos dos años para los 4 principales CMS (4)). Lo que es más preocupante es que los CMS están diseñados para integrarse con otros servicios y ampliarse utilizando complementos (más de 55,000 complementos están disponibles a partir de hoy). Esto amplía aún más la superficie de ataque, ya que crea la oportunidad de comprometer pequeñas bibliotecas / complementos que utilizan estos marcos.

En consecuencia, los CMS son frecuentemente atacados por ataques de abrevaderos al explotar vulnerabilidades que permiten a los malos actores obtener el manage del servidor / sitio, modificando su contenido para servir a un propósito malicioso. En algunos escenarios avanzados, también agregarán secuencias de comandos de huellas digitales para verificar la dirección IP, la zona horaria y otros detalles útiles sobre la víctima. Con base en estos datos, los malos actores pueden decidir automáticamente dejar ir cuando la víctima no es un empleado de la compañía deseada o avanzar más en la cadena de ataque cuando han alcanzado el premio gordo.

Defensa contra ataques de abrevaderos

A medida que las organizaciones fortalecen su postura de seguridad, los malos actores están siendo empujados a nuevos límites. Por lo tanto, los ataques a los pozos de agua están ganando tracción, ya que esto permite que los malos actores comprometan objetivos intermedios (más vulnerables) para luego tener acceso al objetivo remaining previsto. Para ayudar a mantener su organización segura contra los ataques de pozos de agua, asegúrese de incluir protección world wide web. McAfee World-wide-web Gateway puede ayudar a proporcionar una defensa adicional contra cierta clase de ataques, incluso cuando el usuario está visitando un sitio que ha sido comprometido por un ataque a un pozo de agua, con una emulación de comportamiento que apunta a previene el malware de día cero en milisegundos a medida que se procesa el tráfico. También es posible que desee:

  • Cree un modelo de Confianza Cero, especialmente en torno a los empleados que visitan sitios website disponibles públicamente, para asegurarse de que incluso si un ataque a un pozo de agua apunta a su organización, puede evitar que avance.
  • Verifique regularmente el tráfico de pink de su organización para identificar sitios website de terceros vulnerables a los que sus empleados puedan estar expuestos.
  • Verifique los sitios website y servicios expuestos por los proveedores de su organización. ¿Son lo suficientemente seguros y están correctamente parcheados? De lo contrario, considere la posibilidad de que estos puedan convertirse en objetivos intermedios y aplique políticas para limitar la exposición a estos sitios (por ejemplo, no permita descargas si esa es una opción).
  • Cuando sea posible, avise a los proveedores sobre servidores internet no parcheados, marcos de trabajo CMS o bibliotecas, para que puedan mitigar el riesgo rápidamente.

Hacer frente a los ataques a los pozos de agua requiere que estemos más atentos y que revisemos cuidadosamente los sitios website que visitamos, incluso si están catalogados como sitios confiables. Al hacerlo, no solo mitigaremos el riesgo de ataques de pozos de agua, sino que también nos alejaremos de un posible camino hacia las violaciones de datos.

(1) https://securityaffairs.co/wordpress/81790/apt/icao-hack-2016.html

(2) https://www.scmagazine.com/residence/security-news/for-the-very last-number of-months-the-menace-group-oceanlotus-also-known-as-apt32-and-apt-c-00- ha-llevado-a-realizar-un-abrevadero-campaña-focalización-varios-sitios-en-sureste-asia /

(3) «Uso de sistemas de gestión de contenido», https://w3techs.com/systems/overview/written content_administration/all

(4) «El estado de las vulnerabilidades de las aplicaciones net en 2018», https://www.imperva.com/weblog/the-condition-of-net-application-vulnerabilities-in-2018/





Enlace a la noticia original

Related Posts

¿Cómo pueden los CISO conectarse con la junta directiva?

23/03/2023

Campaña masiva de phishing evita MFA e imita a Microsoft Office

23/03/2023

La microfocalización política de los usuarios de Facebook genera ira

23/03/2023

Epidemia de almacenamiento inseguro, los dispositivos de copia de seguridad son una ganancia inesperada para los ciberdelincuentes

23/03/2023

MITRE lanza el prototipo de seguridad de la cadena de suministro

23/03/2023

Comprensión de la detección y respuesta gestionadas, y qué buscar en una solución MDR

23/03/2023