Grandes fallas abren el borde para atacar


Los atacantes están utilizando exploits críticos para detectar fallas en dispositivos VPN, servicios de entrega de aplicaciones y otro hardware y program de borde de crimson para atravesar perímetros corporativos. ¿Qué pueden hacer las empresas?

El perímetro está bajo ataque.

En los últimos ocho meses, las vulnerabilidades fácilmente explotables han plagado la infraestructura perimetral, desde exploits in-the-wild contra una falla crítica en el application de entrega de aplicaciones Large-IP de F5 hasta atacantes de ransomware que se escabullen al usar una vulnerabilidad en la crimson privada virtual de Pulse Protected (VPN) electrodomésticos.

Los ataques a menudo convierten el components y el software program destinados a asegurar el perímetro en la cabeza de playa de un atacante en la pink. Dos días después de que F5 publicara un aviso inicial el 1 de julio sobre la vulnerabilidad en su dispositivo de entrega de aplicaciones Major-IP (CVE-2020-5902), los atacantes ya habían comenzado la exploración generalizada del problema, buscando sistemas que expusieran la vulnerabilidad de la gestión del tráfico Interfaz de usuario (TMUI).

Debido a que la vulnerabilidad crítica period trivial para explotar, F5 actualizó su aviso en cuestión de días con un consejo sincero: si aún no lo ha parcheado, considere que su empresa hackeada.

«Si su sistema Significant-IP tiene TMUI expuesto a Net y no tiene instalada una versión fija del application, existe una alta probabilidad de que se haya visto comprometido y debe seguir sus procedimientos internos de respuesta a incidentes», afirmó la compañía .

No existe una razón única para el mayor descubrimiento y reporte de vulnerabilidades en los dispositivos perimetrales, pero varias tendencias han hecho que sea más probable que se encuentren y ataquen vulnerabilidades, dice Johannes Ullrich, decano de investigación en el Instituto de Tecnología SANS. Dado que las versiones en contenedores de los dispositivos a menudo están disponibles, los investigadores de seguridad pueden configurar entornos más fácilmente para automatizar la búsqueda de vulnerabilidades.

Además, las empresas a menudo no mantienen los dispositivos actualizados, dando a los atacantes una mayor ventana de vulnerabilidad.

«Estos dispositivos sufren de una enorme deuda técnica», dice Ullrich. «Las funciones se han agregado durante una o dos décadas y las compañías se han comprado varias veces, (pero) nadie se tomó el tiempo para rediseñar una gran parte del application en el que se basan estos dispositivos. Estos dispositivos viven en un entorno de amenazas muy diferente al lo que teníamos cuando fueron concebidos y diseñados originalmente «.

La lista de las principales vulnerabilidades, muchas de las cuales han sido atacadas por atacantes, es larga. En diciembre, Citrix advirtió que una vulnerabilidad en dos de sus dispositivos de entrega de aplicaciones implementados por más de 80,000 compañías en todo el mundo podría permitir que un atacante no autenticado ejecute código arbitrario. En enero, el proveedor de VPN Pulse Secure notificó a los clientes que los atacantes habían atacado una vulnerabilidad (CVE-2019-11510) en sus dispositivos VPN. En junio, Palo Alto Networks anunció que había parcheado otra vulnerabilidad crítica, CVE-2020-2021, en la forma en que analiza el Lenguaje de marcado de aserción de seguridad (SAML).

En el incidente más reciente, F5 reparó la falla (CVE-2020-5902) en Massive-IP, un problema descubierto por la firma de seguridad Constructive Technologies.

La acumulación de vulnerabilidades ha sido tan amenazadora que la Agencia de Seguridad Nacional (NSA) del Departamento de Defensa de EE. UU. Y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Han advertido en múltiples ocasiones que los dispositivos perimetrales representan una amenaza si no son adecuados endurecido y asegurado. El 1 de julio, por ejemplo, la NSA advirtió que el mantenimiento del hardware VPN a menudo es complejo, pero representa un riesgo para las organizaciones con poca seguridad.

«Las puertas de enlace de VPN tienden a ser accesibles directamente desde Internet y son propensas a escanear redes, ataques de fuerza bruta y vulnerabilidades de día cero», agregó. NSA declaró en un aviso. «Para mitigar muchas de estas vulnerabilidades, los administradores de purple deben implementar reglas estrictas de filtrado de tráfico para limitar los puertos, protocolos y direcciones IP del tráfico de purple a los dispositivos VPN».

Las empresas deben planificar el fracaso de sus proveedores, y una estrategia de defensa en profundidad es un buen comienzo, según David Wolpoff, director de tecnología y cofundador de Randori, una plataforma automatizada de red-teaming.

«Los vendedores no son perfectos, eso se ha demostrado una y otra vez», dijo en un comunicado enviado a Dark Studying. «Necesitas tener controles, en capas uno encima del otro. La defensa en profundidad no se puede lograr con una caja que tenga todas tus funciones de seguridad. Necesitas múltiples cajas de seguridad, diferentes controles para cuando algo falla, lo que hará en algún momento.»

A principios de julio, la compañía confirmó el aprovechabilidad de la vulnerabilidad SAML en el PAN-OS de Palo Alto Networks.

A largo plazo, las empresas deben adoptar un enfoque más drástico, dice Ullrich de SANS. Si bien la primera línea de defensa es solucionar rápidamente los problemas, un problema creciente a medida que los arreglos continuos de trabajo remoto hacen que tales dispositivos sean aún más críticos para las operaciones de la empresa, la mayoría de las empresas necesitan repensar su arquitectura de crimson y mover las cajas físicas a la nube.

No es una solución rápida ni fácil, dice.

«Repensar la arquitectura de purple de una organización requiere tiempo, paciencia y habilidad, por lo que generalmente no se hace», dice Ullrich. «Los parches te darán, tal vez, el tiempo que necesites».

Patrick Sullivan, director de tecnología de Akamai, está de acuerdo en que los parches no son una solución a largo plazo, particularmente porque los parches no siempre están disponibles y los atacantes pueden aprovechar rápidamente las vulnerabilidades críticas. Los dispositivos de borde también han sido una fuente fértil de fallas con una calificación de 10 en la escala del Sistema de puntuación de vulnerabilidad común (CVSS) de 10 puntos.

Las compañías deben prepararse para «detectar y desalojar a los atacantes» que han explotado con éxito un problema, dice, y agrega que si bien el enfoque de los atacantes en el borde es anterior a la pandemia, la interrupción de las operaciones normales ha dificultado la defensa.

«La pandemia ha hecho que el acceso remoto sea una parte más crítica de la administración del negocio y potencialmente ha dificultado el regulate de cambios (y) los parches», dice Sullivan. «Como industria, no estábamos haciendo un gran trabajo parcheando estos dispositivos en 2019, incluso después de las advertencias de la NSA, por lo que esto puede ser solo un caso de la pandemia que empeora aún más el mal resultado».

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio internet de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking at, MIT&#39s Engineering Evaluate, Well-known Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia unique