imágenes falsas
Al menos cinco agencias federales de EE. UU. Pueden haber experimentado ciberataques dirigidos a fallas de seguridad descubiertas recientemente que dan rienda suelta a los piratas informáticos sobre redes vulnerables, dijo el viernes la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.
Las vulnerabilidades en Pulse Connect Secure, una VPN que los empleados utilizan para conectarse de forma remota a grandes redes, incluyen una que los piratas informáticos habían estado explotando activamente antes de que Ivanti, el fabricante del producto, lo supiera. El defecto, que Ivanti divulgado la semana pasada, tiene una clasificación de gravedad de 10 sobre 10 posibles. La vulnerabilidad de omisión de autenticación permite a los usuarios que no son de confianza ejecutar de forma remota código malicioso en el hardware Pulse Secure y, desde allí, obtener el control de otras partes de la red donde está instalado.
Agencias federales, infraestructura crítica y más
Firma de seguridad FireEye dijo en un informe publicado el mismo día que la divulgación de Ivanti de que los piratas informáticos vinculados a China pasaron meses explotando la vulnerabilidad crítica para espiar a los contratistas de defensa e instituciones financieras estadounidenses en todo el mundo. Ivanti confirmó en un publicación separada que la vulnerabilidad de día cero, rastreada como CVE-2021-22893, estaba bajo explotación activa.
En marzo, tras la divulgación de varias otras vulnerabilidades que ahora se han parcheado, Ivanti liberado la herramienta de integridad Pulse Secure Connect, que agiliza el proceso de verificación de si los dispositivos Pulse Secure vulnerables se han visto comprometidos. Tras la divulgación de la semana pasada de que CVE-2021-2021-22893 estaba bajo explotación activa, CISA ordenó que todas las agencias federales ejecutan la herramienta
“CISA tiene conocimiento de al menos cinco agencias civiles fe derales que han ejecutado la herramienta Pulse Connect Secure Integrity Tool e identificaron indicios de un posible acceso no autorizado”, escribió Matt Hartman, subdirector ejecutivo adjunto de CISA, en un comunicado enviado por correo electrónico. “Estamos trabajando con cada agencia para validar si se ha producido una intrusión y ofreceremos soporte de respuesta a incidentes en consecuencia”.
CISA dijo que está consciente de los compromisos de las agencias federales, las entidades de infraestructura crítica y las organizaciones del sector privado que se remontan a junio de 2020.
Ellos solo siguen viniendo
El objetivo de las cinco agencias es el último de una serie de ciberataques a gran escala para afectar a organizaciones gubernamentales y empresariales sensibles en los últimos meses. En diciembre, los investigadores descubrieron una operación que infectó la construcción de software y el sistema de distribución del fabricante de herramientas de administración de red SolarWinds. Los piratas informáticos utilizaron su control para enviar actualizaciones con puertas traseras a unos 18.000 clientes. Nueve agencias gubernamentales y menos de 100 organizaciones privadas, incluida Microsoft, el fabricante de antivirus Malwarebytes y Mimecast, recibieron ataques posteriores. En marzo, los piratas informáticos que explotaban una vulnerabilidad recién descubierta en Microsoft Exchange comprometieron aproximadamente 30.000 servidores Exchange en los EE. UU. Y hasta 100.000 en todo el mundo. Microsoft dijo que Hafnium, el nombre de un grupo que opera en China, estaba detrás de los ataques. En los días que siguieron, los piratas informáticos no afiliados a Hafnium comenzaron a infectar los servidores ya comprometidos para instalar una nueva variedad de ransomware. También se han producido otras dos infracciones graves, una contra el fabricante de la herramienta de desarrollo de software Codecov y la otra contra el vendedor de Passwordstate, un administrador de contraseñas utilizado por grandes organizaciones para almacenar credenciales para firewalls, VPN y otros dispositivos conectados a la red. Ambas infracciones son graves, porque los piratas informáticos pueden utilizarlas para comprometer la gran cantidad de clientes de los productos de las empresas.
Ivanti dijo que está ayudando a investigar y responder a los exploits, que, según la compañía, han sido “descubiertos en un número muy limitado de sistemas de clientes”.
“El equipo de Pulse tomó medidas rápidas para proporcionar mitigaciones directamente al número limitado de clientes afectados que corrige el riesgo de su sistema, y planeamos emitir una actualización de software en los próximos días”, agregó un portavoz.