Una actualización de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, Alertó sobre AA20-010A: Explotación continua de la vulnerabilidad de Pulse Secure VPN , que aconseja a las organizaciones parchear inmediatamente CVE-2019-11510, una vulnerabilidad de lectura de archivos arbitraria que afecta a la red privada virtual virtual de Pulse Secure (VPN). CISA está proporcionando esta actualización para alertar a los administradores de que los actores de amenazas que explotaron con éxito CVE-2019-11510 y robaron las credenciales de una organización víctima aún podrán acceder y moverse lateralmente a la red de esa organización después de que la organización haya parcheado esta vulnerabilidad si la organización no cambió esas credenciales robadas.
La advertencia llega tres meses después de otra alerta de CISA que insta a los usuarios y administradores a parchear entornos Pulse Secure VPN para frustrar los ataques que explotan la vulnerabilidad.
"Los actores de amenazas que explotaron con éxito CVE-2019-11510 y robaron las credenciales de una organización víctima aún podrán acceder, y moverse lateralmente, a la red de esa organización después de que la organización haya parcheado esta vulnerabilidad si la organización no cambió esas credenciales robadas". Dijo CISA.
CISA también ha lanzado una herramienta para ayudar a los administradores de red a buscar cualquier indicador de compromiso asociado con la falla.
Rastreado como CVE-2019-11510 , la vulnerabilidad de lectura de archivos arbitrarios previa a la autenticación podría permitir a atacantes remotos no autenticados comprometer servidores VPN vulnerables y obtener acceso a todos los usuarios activos y sus credenciales de texto sin formato, y ejecutar comandos arbitrarios.
La falla se debe al hecho de que el recorrido del directorio está codificado para permitirse si una ruta contiene "dana / html5 / acc", lo que permite que un atacante envíe URL especialmente diseñadas para leer archivos confidenciales, como "/ etc / passwd" que contiene información sobre cada usuario en el sistema.
Para abordar este problema, Pulse Secure lanzó un parche fuera de banda el 24 de abril de 2019. Mientras que el 24 de agosto de 2019, la empresa de inteligencia de seguridad Bad Packets pudo descubrir 14,528 servidores Pulse Secure sin parchear , un escaneo posterior a partir del mes pasado produjo 2,099 puntos finales vulnerables , lo que indica que una gran mayoría de las organizaciones han parcheado sus puertas de enlace VPN.
El hecho de que todavía haya más de miles de servidores Pulse Secure VPN sin parches los ha convertido en un objetivo lucrativo para que los malos actores distribuyan malware.
Un informe de ClearSky encontró a piratas informáticos patrocinados por el estado iraní que utilizan CVE-2019-11510 , entre otros, para penetrar y robar información de empresas de TI y telecomunicaciones en todo el mundo.
Según un aviso de la NSA de octubre de 2019, el "código de explotación está disponible gratuitamente en línea a través del marco Metasploit, así como GitHub. Los ciberdelincuentes maliciosos están utilizando activamente este código de explotación".
En una alerta similar emitida el año pasado, el Centro Nacional de Seguridad Cibernética ( NCSC ) del Reino Unido advirtió que los grupos de amenazas avanzadas están explotando la vulnerabilidad para atacar a organizaciones gubernamentales, militares, académicas, comerciales y de atención médica.
CISA también sugirió eliminar los programas de acceso remoto no aprobados e inspeccionar las tareas programadas en busca de scripts o ejecutables que puedan permitir que un atacante se conecte a un entorno.
Para obtener más pasos para mitigar la falla, diríjase al aviso de la NSA aquí . https://www.us-cert.gov/ncas/alerts/aa20-107a
La advertencia llega tres meses después de otra alerta de CISA que insta a los usuarios y administradores a parchear entornos Pulse Secure VPN para frustrar los ataques que explotan la vulnerabilidad.
"Los actores de amenazas que explotaron con éxito CVE-2019-11510 y robaron las credenciales de una organización víctima aún podrán acceder, y moverse lateralmente, a la red de esa organización después de que la organización haya parcheado esta vulnerabilidad si la organización no cambió esas credenciales robadas". Dijo CISA.
CISA también ha lanzado una herramienta para ayudar a los administradores de red a buscar cualquier indicador de compromiso asociado con la falla.
Un error de ejecución remota de código
Rastreado como CVE-2019-11510 , la vulnerabilidad de lectura de archivos arbitrarios previa a la autenticación podría permitir a atacantes remotos no autenticados comprometer servidores VPN vulnerables y obtener acceso a todos los usuarios activos y sus credenciales de texto sin formato, y ejecutar comandos arbitrarios.
La falla se debe al hecho de que el recorrido del directorio está codificado para permitirse si una ruta contiene "dana / html5 / acc", lo que permite que un atacante envíe URL especialmente diseñadas para leer archivos confidenciales, como "/ etc / passwd" que contiene información sobre cada usuario en el sistema.
Para abordar este problema, Pulse Secure lanzó un parche fuera de banda el 24 de abril de 2019. Mientras que el 24 de agosto de 2019, la empresa de inteligencia de seguridad Bad Packets pudo descubrir 14,528 servidores Pulse Secure sin parchear , un escaneo posterior a partir del mes pasado produjo 2,099 puntos finales vulnerables , lo que indica que una gran mayoría de las organizaciones han parcheado sus puertas de enlace VPN.
Los servidores VPN sin parches se convierten en un objetivo lucrativo
El hecho de que todavía haya más de miles de servidores Pulse Secure VPN sin parches los ha convertido en un objetivo lucrativo para que los malos actores distribuyan malware.
Un informe de ClearSky encontró a piratas informáticos patrocinados por el estado iraní que utilizan CVE-2019-11510 , entre otros, para penetrar y robar información de empresas de TI y telecomunicaciones en todo el mundo.
Según un aviso de la NSA de octubre de 2019, el "código de explotación está disponible gratuitamente en línea a través del marco Metasploit, así como GitHub. Los ciberdelincuentes maliciosos están utilizando activamente este código de explotación".
En una alerta similar emitida el año pasado, el Centro Nacional de Seguridad Cibernética ( NCSC ) del Reino Unido advirtió que los grupos de amenazas avanzadas están explotando la vulnerabilidad para atacar a organizaciones gubernamentales, militares, académicas, comerciales y de atención médica.
CISA también sugirió eliminar los programas de acceso remoto no aprobados e inspeccionar las tareas programadas en busca de scripts o ejecutables que puedan permitir que un atacante se conecte a un entorno.
Para obtener más pasos para mitigar la falla, diríjase al aviso de la NSA aquí . https://www.us-cert.gov/ncas/alerts/aa20-107a
%2014.04.55.png)
