TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por los fabricantes de los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios y extracción de datos.

Descripción

Expertos en seguridad han identificado una campaña por parte de un usuario malintencionado con sede en Irán dirigida a varias industrias asociadas principalmente con los sectores de tecnología de la información, gobierno, atención médica, finanzas, seguros y medios en los Estados Unidos. El actor de amenazas realiza un escaneo masivo y utiliza herramientas, como Nmap, para identificar los puertos abiertos, una vez que se identifican estos, aprovecha las vulnerabilidades relacionadas con infraestructura de servicios VPN, como lo son CVE-2019-11510 (CVSS v3.1 10.0 [Crítico]), CVE-2019-11539 (CVSS v3.0 8.0 [Alto]), CVE-2019-19781 (CVSS v3.1 9.8 [Crítico]) y CVE-2020-5902 (CVSS v3.1 9.8 [Crítico]), para obtener acceso inicial a una red específica.

Una vez que se aprovechan esas vulnerabilidades, el atacante realiza una elevación de privilegios e instala Webshells, además hace uso de herramientas de código abierto y de funcionalidades de los propios sistemas operativos comprometidos, como: ngrok, fast reverse proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser, ChunkyTuna, Tiny y China Chopper.

La investigación sugiere que este actor de amenazas vende acceso a la infraestructura de red comprometida en foros de la Dark Web.

Actualmente no se cuenta con evidencia de exfiltración de datos, pero se evalúa la posibilidad del uso de 7-Zip y la visualización de documentos confidenciales.

Indicadores de Compromiso:

  • Tiny web shell
    • /netscaler/ns_gui/admin_ui/rdx/core/css/images/css.php
    • /netscaler/ns_gui/vpn/images/vpn_ns_gui.php
    • /var/vpn/themes/imgs/tiny.php
  • ChunkyTuna web shell
    • /var/vpn/themes/imgs/debug.php
    • /var/vpn/themes/imgs/include.php
    • /var/vpn/themes/imgs/whatfile
  • Chisel
    • /var/nstmp/chisel

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • (VPN) Pulse Secure.
  • Citrix Application Delivery Controller (ADC) y Gateway 10.5, 11.1, 12.0, 12.1 y 13.0.
  • BIG-IP versiones 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1 y 11.6.1-11.6.5.1.
  • Vulnerabilidades F5.

Medidas de erradicación

  • Realizar una búsqueda de los IOCs especificados al interior de la organización.
  • Actualizar la vulnerabilidad Citrix CVE-2019-19781 y las demás comentadas en este aviso.
  • Auditar de forma rutinaria la configuración y los programas de administración de actualizaciones de seguridad.
  • Supervisar el tráfico de red en busca de protocolos inesperados y no aprobados, especialmente salientes a Internet (por ejemplo, SSH, SMB, RDP).
  • Implementar/Actualizar la autenticación de múltiples factores, especialmente para cuentas privilegiadas.
  • Utilizar cuentas administrativas independientes en estaciones de trabajo diferentes.
  • Implementar el principio de privilegio mínimo en el acceso a los datos.
  • Implementar herramientas de defensa en todos los endpoints; asegúrese de que funcionen y estén actualizados.
  • Considerar en equipos comprometidos la reinstalación de estos.

Referencias