NSA, CISA advierten de ataques a la autenticación federada



Si bien el particular de respuesta a incidentes se centra en los ataques que utilizan SolarWinds Orion, los ciberdefensores del gobierno destacan otros métodos que probablemente también se estén utilizando.

Una actualización modificada por el atacante del producto de administración de pink SolarWinds Orion que comprometió a miles de empresas y agencias gubernamentales probablemente no sea la única forma en que los atacantes rusos se infiltraron en las redes, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en una actualización del fin de semana.

En una alerta actualizada sobre los recientes ataques de ciberespionaje contra agencias gubernamentales y empresas del sector privado, CISA señaló el 18 de diciembre que los atacantes parecen haber utilizado otros vectores de ataques fuera de la plataforma SolarWinds Orion. El 21 de diciembre, la agencia señaló un aviso publicado la semana anterior por la Agencia de Seguridad Nacional, que advirtió que los atacantes estaban robando claves privadas para la infraestructura de inicio de sesión único (SSO) para evitar la autenticación de dos factores.

La NSA señaló una advertencia el 7 de diciembre de que los actores patrocinados por el estado ruso habían explotado una vulnerabilidad en los productos VMware Accessibility y VMware Detect Supervisor para obtener acceso a datos protegidos. CISA no nombró a VMware, pero citó el problema en un lenguaje identical.

«Específicamente, estamos investigando incidentes en los que existe actividad que indica abuso de tokens de lenguaje de marcado de afirmación de seguridad (SAML) consistente con el comportamiento de este adversario, pero donde no se han identificado instancias de SolarWinds afectadas», declaró la agencia en su aviso actualizado.

La información adicional publicada durante el fin de semana continúa ampliando el alcance y el impacto de lo que los expertos en ciberseguridad consideran el ciberataque más significativo de los últimos años.

La semana pasada, SolarWinds reconoció que los atacantes se habían infiltrado en su proceso de desarrollo e insertaron código malicioso en las últimas actualizaciones de Orion. Alrededor de 18,000 de los 33,000 clientes de la compañía actualizaron su software package entre marzo de 2020 y junio de 2020, instalando inadvertidamente una puerta trasera para atacantes.

En la última actualización, CISA señaló un aviso publicado por la Agencia de Seguridad Nacional el jueves sobre detectar el abuso de los mecanismos de autenticación, cual citado CVE-2020-4006, una vulnerabilidad en los productos Access and Identity Manager de VMware.

La compañía, sin embargo, niega que exista evidencia de que su computer software haya sido utilizado para establecer una cabeza de playa por atacantes en redes vulnerables, y señaló que había parcheado la vulnerabilidad el 3 de diciembre.

«(A) e esta vez, no tenemos indicios de que VMware esté involucrado en el ataque del estado-nación a SolarWinds», dijo un portavoz de la compañía en un comunicado enviado a Dim Examining. «Queremos aclarar que todas las vulnerabilidades no parcheadas que brindan acceso inicial pueden usarse para lograr y mantener una presencia persistente en las redes».

Sin embargo, el Aviso de la NSA del 7 de diciembre establece específicamente «Actores patrocinados por el estado ruso que explotan la vulnerabilidad en el acceso de VMware Workspace A single utilizando credenciales comprometidas», y el aviso de vulnerabilidad authentic de VMware, fechado originalmente el 24 de noviembre, reconoce a la NSA como la fuente de la divulgación.

La NSA advirtió que las empresas que no bloquean sus entornos de autenticación federada frente a ataques basados ​​en credenciales corren el riesgo de que esos entornos se vean comprometidos.

«La explotación se develop después de que los actores hayan obtenido acceso inicial a la pink area de la víctima», señaló el aviso de la NSA. «Los actores aprovechan el acceso privilegiado en el entorno local para subvertir los mecanismos que utiliza la organización para otorgar acceso a los recursos locales y en la nube y / o comprometer las credenciales del administrador con la capacidad de administrar los recursos en la nube».

La empresa de ciberseguridad Volexity proporcionó detalles de incidentes atribuidos al actor de SolarWinds, que se llama Dark Halo pero que el gobierno ha identificado como Inteligencia rusa, que abusó de la clave de integración de una aplicación world wide web de Microsoft Outlook para el servidor de identidad federado para Duo de Cisco. Seguridad.

La clave de sesión de precomputación «permitió (a) un atacante con conocimiento de una cuenta de usuario y una contraseña … omitir por completo el MFA (autenticación multifactor) establecido en la cuenta». El análisis de Volexity declaró. «Cabe señalar que esto no es una vulnerabilidad con el proveedor de MFA y subraya la necesidad de garantizar que todos los secretos asociados con integraciones clave, como aquellos con un proveedor de MFA, deben cambiarse después de una infracción».

La Agencia de Seguridad Nacional también enfatizó que los métodos de ataque no significaban que los sistemas de identidad federados tuvieran alguna debilidad inherente o que el Lenguaje de marcado de afirmación de seguridad tuviera inseguridades.

«La seguridad de la federación de identidad en cualquier entorno de nube depende directamente de la confianza en los componentes locales que realizan la autenticación, asignan privilegios y firman tokens SAML», declaró la NSA en su aviso. «Si alguno de estos componentes se ve comprometido, entonces la confianza en los tokens de autenticación de los componentes está fuera de lugar y se puede abusar de ellos para el acceso no autorizado».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Examining, MIT&#39s Technology Review, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic