DHS CISA: las empresas están siendo pirateadas incluso después de parchear Pulse Protected VPN


hacking.png

Imagen: Hack Money

Las empresas que ejecutan servidores Pulse Secure VPN aún corren el riesgo de ser pirateadas, a pesar de parchear los sistemas vulnerables, advirtieron este mes las agencias de ciberseguridad de EE. UU. Y Japón.

Los servidores Pulse Protected VPN son puertas de enlace VPN de nivel empresarial que las empresas utilizan para permitir que los trabajadores se conecten a las redes internas de la empresa a través de Online.

El año pasado, se reveló una vulnerabilidad importante en estos productos. La vulnerabilidad, rastreada como CVE-2019-11510, permitió a los hackers ejecutar código malicioso en servidores vulnerables.

La vulnerabilidad fue ampliamente explotada, por todo tipo de grupos de hackers, desde entidades del estado nación hasta pandillas de ransomware.

En la mayoría de los casos, los piratas informáticos tomaron el control de los servidores VPN y luego pasaron a las estaciones de trabajo en la purple interna de la compañía, donde robaron propiedad intelectual, plantaron malware o instalaron ransomware.

Una nueva torcedura en los ataques Pulse Secure VPN

Sin embargo, en dos alertas de seguridad publicadas este mes por el Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT) y la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (DHS CISA), las dos agencias dicen que detectaron una nueva falla en los ataques.

Según los dos, los hackers también han estado utilizando el acceso al servidor Pulse Safe VPN para extraer las credenciales de texto plano de Active Listing (Advertisement).

Ahora, JPCERT y CISA dicen que están viendo ataques en los que los piratas informáticos están aprovechando estas credenciales robadas para acceder a las redes internas, incluso después de que las empresas parchearon las puertas de enlace VPN Safe Pulse.

En una alerta publicada ayer, CISA dijo que estaba al tanto de «incidentes en los que se utilizaron credenciales de Lively Directory comprometidas meses después de que la organización víctima parcheó su dispositivo VPN».

«En un caso, CISA observó a un actor de amenaza cibernética que intentaba vender las credenciales robadas después de 30 intentos fallidos de conectarse al entorno del cliente para escalar los privilegios y dejar caer el ransomware», dijo CISA.

La agencia estadounidense tiene lanzó una herramienta en GitHub para empresas que ejecutan Pulse Protected VPN. La herramienta se puede utilizar para examinar sus registros de Pulse Secure y detectar signos de un posible compromiso. La herramienta busca direcciones IP y agentes de usuario que se sabe que están asociados con grupos que han explotado los servidores Pulse Safe VPN.

CISA recomienda encarecidamente a las organizaciones que aún no lo hayan hecho que actualicen su Pulse Protected VPN a los parches correspondientes para CVE-2019-11510. Si, después de aplicar las medidas de detección en esta alerta, las organizaciones detectan evidencia de explotación CVE-2019-11510, CISA recomienda cambiar las contraseñas para todas las cuentas de Active Listing, incluidas las cuentas de administradores y servicios.



Enlace a la noticia unique