Falla ampliamente conocida en Pulse Protected VPN que se utiliza en …



El ataque de Nochevieja al servicio de cambio de divisas Travelex puede haber implicado el uso de la falla.

El proveedor de VPN Pulse Protected el lunes instó a los clientes a aplicar de inmediato un parche de seguridad si aún no lo han hecho. La compañía emitió el parche en abril pasado para abordar una falla crítica ejecutable de forma remota en algunas versiones de sus productos.

El consejo surgió de los informes de los últimos días de atacantes que explotaron la falla, rastreada como CVE-2019-1150, para entregar ransomware en sistemas empresariales y eliminar copias de seguridad de datos y deshabilitar herramientas de seguridad de punto remaining.

Entre los que se creen afectados en la campaña en curso se encuentra el proveedor de seguros de viaje y cambio de divisas Travelex, que experimentó una interrupción masiva del servicio esta semana después de un ataque de ransomware en sus sistemas en la víspera de Año Nuevo. El ataque, que implica el uso de ransomware conocido como REvil (Sodinokibi), obligó a la compañía a tomar todo de sus sistemas fuera de línea y recurrir a operaciones manuales en sucursales en todo el mundo.

Travelex no respondió de inmediato a una solicitud de Dark Examining en busca de una actualización sobre el incidente.

El investigador de seguridad del Reino Unido Kevin Beaumont, quien primero reportado Los ataques del sábado describieron que al menos dos organizaciones se habían visto comprometidas hasta ahora por ataques recientes dirigidos a la falla Pulse Protected VPN.

«Pulse Secure proporcionó públicamente un parche el 24 de abril de 2019 que debería aplicarse inmediatamente a Pulse Hook up Secure (VPN)», dice Scott Gordon, director de marketing and advertising de Pulse Secure. «No se demore ya que la vulnerabilidad CVE-2019-1150 es muy crítica», advierte.

los falla en múltiples versiones de Pulse Connect Safe y Pulse Coverage Secure, los atacantes remotos pueden conectarse a través de HTTPS a una crimson empresarial sin necesidad de un nombre de usuario o contraseña válidos. Los atacantes pueden usar la falla para ver registros y archivos, desactivar la autenticación multifactor, descargar archivos arbitrarios y ejecutar código malicioso en redes empresariales,

La vulnerabilidad de seguridad es una de varias que se descubrieron el año pasado en productos VPN de Pulse Protected, Palo Alto Networks y Fortinet. Defectos como estos se consideran especialmente peligrosos porque existen en los productos en los que las empresas confían para protegerse contra las amenazas cibernéticas. Pulse Secure y muchos otros han instado reiteradamente a las organizaciones con sistemas vulnerables a que apliquen el parche lo antes posible.

Los exploits para la vulnerabilidad han estado disponibles gratuitamente al menos desde agosto pasado. Ambos NSA y los Estados Unidos Departamento de Seguridad Nacional han emitido avisos por separado sobre las fallas de VPN y advertido sobre los grupos de amenazas persistentes avanzadas respaldadas por el estado nacional que los explotan para tomar el handle de los sistemas vulnerables.

A pesar de las advertencias, una gran cantidad de productos afectados por Pulse Safe permanecen sin parches y vulnerables a los ataques. Según la empresa de inteligencia de amenazas Poor Packets, al menos 3,825 servidores Pulse Secure VPN permanecen sin parches y vulnerables a ataques a partir del 3 de enero de 2020. Más de 1,300 de los sistemas vulnerables se encuentran en los Estados Unidos. Según Beaumont, Travelex tenía siete servidores Pulse Protected sin parches cuando fue atacado en la víspera de Año Nuevo.

«Estimamos que casi el 90% de los sistemas Pulse Secure VPN han sido parcheados, y algunos de esos sistemas no están en producción activa», dice Gordon. En agosto, cuando Negative Packets realizó un análisis de Web, identificó 15,000 servidores en riesgo de vulnerabilidad, señala.

Gordon dice que Pulse Safe ha puesto a disposición sus ingenieros de soporte las 24 horas del día, los 7 días de la semana, incluidos fines de semana y días festivos, para ayudar a los clientes que necesitan asistencia para aplicar el parche. Asistencia parche está disponible incluso para clientes que actualmente no tienen un contrato de mantenimiento activo, dice.

«Cualquier vulnerabilidad en el acceso remoto de una red es un gran problema», dice Chris Morales, jefe de análisis de seguridad de Vectra. Cualquier vulnerabilidad de VPN ejecutable remotamente, especialmente una que le da a un atacante el mismo nivel de acceso que un usuario remoto aprobado, debería haberse abordado de inmediato, dice. «No conozco todas las variables en juego específicas de Travelex. Sin embargo, es una pena que la gestión de vulnerabilidades y los parches sigan siendo difíciles de hacer».

Colin Bastable, CEO de Lucy Safety, dice que ataques como el de Travelex resaltan los enormes desafíos que enfrentan las organizaciones para abordar las amenazas a la crimson. «Hay demasiadas partes móviles en la infraestructura de TI moderna para que el equipo de TI las administre, especialmente con negocios globales», dice. «Jugar a la defensa siempre es más difícil que jugar a la ofensiva, porque alguien, en algún lugar o algún servidor, no podrá obtener el memo y perderá o aplicará mal el parche».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia unique