Los malos actores han accedido a los sistemas de apoyo a las elecciones de EE. UU., Aunque no hay evidencia que sugiera que los datos electorales se hayan visto comprometidos, dicen el FBI y CISA.
Los actores de amenazas han estado encadenando vulnerabilidades en los servicios de Home windows y de redes privadas virtuales (VPN) para atacar a varias agencias gubernamentales, infraestructura crítica y organizaciones electorales, según una advertencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos y la Oficina Federal de Investigaciones. (FBI). La técnica, que implica explotar varias fallas en el transcurso de un solo ataque para infiltrarse en la red de una organización, es parte de los esfuerzos intensificados de las pandillas antes de las elecciones presidenciales de Estados Unidos.
“Esta actividad maliciosa reciente a menudo, pero no exclusivamente, se ha dirigido a redes gubernamentales federales y estatales, locales, tribales y territoriales (SLTT). Aunque no parece que estos objetivos se estén seleccionando debido a su proximidad a la información electoral, puede haber cierto riesgo para la información electoral almacenada en las redes gubernamentales ”, dice el diario. consultivo emitido por las agencias.
Y aunque CISA notó que algunas de las actividades de los atacantes han dado lugar a un acceso no autorizado a los sistemas de apoyo a las elecciones, la agencia no tiene ninguna evidencia para concluir que la integridad de las elecciones se haya visto comprometida de alguna manera.
Los actores cibernéticos maliciosos están explotando las vulnerabilidades heredadas contra SLTT, Infraestructura crítica y Organizaciones electorales. Lea nuestro aviso conjunto con el @FBI para obtener detalles técnicos y acciones recomendadas: https://t.co/FDbCpPdNbV #InfoSec #InfoSeguridad # Defend2020 pic.twitter.com/D2Clny9zUI
– Agencia de Seguridad de Infraestructura y Ciberseguridad (@CISAgov) 10 de octubre de 2020
Las cadenas
Los actores de amenazas han estado explotando varias vulnerabilidades heredadas en servicios VPN junto con la vulnerabilidad de elevación de privilegios de Home windows Netlogon rastreada como CVE-2020-1472 y parcheado en agosto para obtener acceso no autorizado a la pink. Se ha visto a los actores de amenazas aprovechando este defecto, también conocido como Zerologon, junto, por ejemplo, con la vulnerabilidad indexada como CVE-2018-13379 y reside en FortiOS Safe Socket Layer (SSL) VPN.
“Después de obtener el acceso inicial, los actores aprovechan CVE-2020-1472 para comprometer todos los servicios de identidad de Energetic Listing (Ad). Luego, se ha observado que los actores utilizan herramientas legítimas de acceso remoto, como VPN y el Protocolo de escritorio remoto (RDP), para acceder al entorno con las credenciales comprometidas ”, advirtieron las agencias.
LECTURA RELACIONADA: Black Hat 2020: solucionando problemas de votación: ¿hirviendo el océano?
Además, se ha observado que los ciberdelincuentes explotan una vulnerabilidad de ejecución remota de código en MobileIron Core & Connector. La falla, rastreada como CVE-2020-15505, podría permitir a los atacantes obtener privilegios de nivel administrativo sobre un sistema sin embargo, su explotación no ha sido tan generalizada.
El aviso también establece una lista de otras vulnerabilidades que podrían usarse para comprometer la infraestructura orientada a World wide web y obtener acceso a la red, como CVE-2020-19781 en Citrix NetScaler, CVE-2019-11510 en Pulse Protected VPN, y la vulnerabilidad indexada como CVE-2020-5902 y afectando Dispositivos de red multipropósito Massive-IP de F5 Networks.
Para mitigar las posibilidades de verse comprometidos, el CISA y el FBI aconsejan a las organizaciones que mantengan sus sistemas actualizados y apliquen los últimos parches de seguridad disponibles cuando estén disponibles. Además, las instituciones deben actualizar su infraestructura de pink y VPN y usar autenticación multifactor al iniciar sesión en sus respectivos servicios VPN. Si sospechan que se está produciendo un abuso de credenciales, las organizaciones deben ejecutar restablecimientos completos de la cuenta.
Este es solo el último de una serie de advertencias publicadas por las dos agencias federales en el período previo a las elecciones presidenciales de 2020. El mes pasado, por ejemplo, emitieron una advertencia sobre campañas de desinformación difundir rumores y afirmaciones falsas sobre sistemas de votación pirateados.
