Los federales dicen que los piratas informáticos probablemente estén explotando vulnerabilidades críticas de VPN de Fortinet

El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que los piratas informáticos avanzados probablemente estén explotando vulnerabilidades críticas en Fortinet FortiOS VPN en un intento de plantar una cabeza de playa para violar empresas medianas y grandes en ataques posteriores.

“Los actores de APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a múltiples servicios gubernamentales, comerciales y tecnológicos”, dijeron las agencias el viernes en un asesoramiento conjunto. “Obtener acceso inicial predispone a los actores de la APT para llevar a cabo futuros ataques”. APT es la abreviatura de amenaza persistente avanzada, un término que se usa para describir grupos de piratería bien organizados y bien financiados, muchos respaldados por estados nacionales.

Rompiendo la mota

Las VPN SSL de Fortinet FortiOS se utilizan principalmente en firewalls fronterizos, que acordonan las redes internas sensibles de la Internet pública. Dos de las tres vulnerabilidades ya parcheadas enumeradas en el aviso, CVE-2018-13379 y CVE-2020-12812, son particularmente graves porque hacen posible que los piratas informáticos no autenticados roben credenciales y se conecten a VPN que aún no se han actualizado.

“Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, si son Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso de inmediato a esos servicios con los privilegios del usuario cuyas credenciales fueron robadas ”, Dijo James Renken, ingeniero de confiabilidad de sitios del Grupo de Investigación de Seguridad de Internet. Renken es una de las dos personas a las que se atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2019-5591, que el aviso del viernes dijo que probablemente también estaba siendo explotada. “El atacante puede entonces explorar la red, pivotar para intentar explotar varios servicios internos, etc.”

Uno de los errores de seguridad más graves, CVE-2018-13379, fue encontrado y revelado por los investigadores Orange Tsai y Meh Chang de la firma de seguridad Devcore. Diapositivas de una charla que los investigadores dieron en la Conferencia de Seguridad Black Hat en 2019 lo describen como una “lectura de archivos arbitraria previa a la autorización”, lo que significa que permite al explotador leer bases de datos de contraseñas u otros archivos de interés.

La firma de seguridad Tenable, mientras tanto, dicho que CVE-2020-12812 puede resultar en que un explotador omita la autenticación de dos factores e inicie sesión correctamente.

En una declaración enviada por correo electrónico, Fortinet dijo:

La seguridad de nuestros clientes es nuestra primera prioridad. CVE-2018-13379 es una antigua vulnerabilidad resuelta en mayo de 2019. Fortinet emitió inmediatamente una Aviso de PSIRT y se comunicó directamente con los clientes y a través de publicaciones de blogs corporativos en múltiples ocasiones en Agosto de 2019 y Julio de 2020 Recomiendo encarecidamente una actualización. Tras la resolución, nos hemos comunicado constantemente con los clientes hasta en 2020. CVE-2019-5591 se resolvió en julio de 2019 y CVE-2020-12812 se resolvió en julio de 2020. Para obtener más información, visite nuestro Blog e inmediatamente consulte el Aviso de mayo de 2019. Si los clientes no lo han hecho, les recomendamos que implementen de inmediato la actualización y las mitigaciones.

El FBI y CISA no proporcionaron detalles sobre la APT mencionada en el aviso conjunto. El aviso también cubre diciendo que existe una “probabilidad” de que los actores de la amenaza estén explotando activamente las vulnerabilidades.

Parchar las vulnerabilidades requiere que los administradores de TI realicen cambios en la configuración y, a menos que una organización esté usando una red con más de un dispositivo VPN, habrá tiempo de inactividad. Si bien esas barreras suelen ser difíciles en entornos que necesitan que las VPN estén disponibles las 24 horas, el riesgo de ser arrastrado a un compromiso de ransomware o espionaje es significativamente mayor.


Source: Ars Technica by arstechnica.com.

*The article has been translated based on the content of Ars Technica by arstechnica.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!