TLP: White
Nivel de riesgo: CVSS v3.1: 10.0 [Crítico]

Acción Requerida: Aplicar las recomendaciones establecidas como medidas de mitigación.

Vector de ataque: Aprovechamiento de vulnerabilidades en equipos expuestos a Internet.
Impacto: El aprovechamiento de cualquiera de las vulnerabilidades presentes en este aviso, puede permitir a un atacante la ejecución de código arbitrario, con el objetivo de robar datos adicionales e implementar más ataques contra otras cuentas.

Descripción

Recientemente la Agencia de Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), emitieron una alerta conjunta donde se indica la observación de actividad realizada por grupos APT con el objetivo aprovechar la situación causada por la pandemia de COVID-19 para realizar sus operaciones. Las organizaciones afectadas por las campañas maliciosas son instituciones involucradas en el combate a la pandemia actual. Estas organizaciones incluyen organismos de salud, compañías farmacéuticas, instituciones académicas, organizaciones de investigación médica, en particular en países como Estados Unidos, Reino Unido.

Las campañas realizadas por grupos de APT tienen el objetivo de recopilar todo tipo de información como políticas sanitarias y datos sensibles sobre investigaciones relacionadas con el COVID-19 con el objetivo de robar datos confidenciales de investigación y propiedad intelectual. Una técnica común utilizada en estas campañas de gran escala es el “Password spraying”, el cual, últimamente es utilizado para atacar entidades de salud de varios países, así como organizaciones internacionales de salud.

Password spraying es una técnica de ataque mediante fuerza bruta, en el que intenta utilizar una contraseña única y de uso común en distintas cuentas antes de utilizar una segunda contraseña, y así sucesivamente. Esta técnica permite al atacante no ser detectado al evitar bloqueos de cuentas rápidos o frecuentes. La probabilidad de éxito de estos ataques es alta, ya que, para cualquier gran conjunto de usuarios, es probable que haya algunos con contraseñas comunes.

Los usuarios maliciosos, incluidos los grupos APT, recopilan nombres de varias fuentes a través de Internet que proporcionan detalles de la organización y utilizan esta para identificar posibles cuentas de las instituciones objetivo a ser comprometidas. Una vez que el atacante compromete una sola cuenta, la usara para acceder a otras donde se reutilizan las credenciales.

Recientemente se ha observado que grupos de APT realizan reconocimiento de los sitios web externos de empresas especificas en la búsqueda de vulnerabilidades en el software en complemento con las listadas a continuación, de las cuales hace uso común para comprometer organizaciones:

  • CVE-2019-11510 CVSS v3.1 – 10.0 [Crítica]: vulnerabilidad que afecta a ciertas versiones de Pulse Connect Secure, que, de ser aprovechada, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria.
  • CVE-2019-11510 CVSS v3.1 – 10.0 [Crítica]: vulnerabilidad que afecta a ciertas versiones de Citrix Application Delivery Controller y Gateway. El aprovechamiento de esta vulnerabilidad permite un salto de directorio.
  • CVE-2018-13379 CVSS v3.1- 9.8 [Crítica]: vulnerabilidad que afecta a ciertas versiones de dispositivos Fortinet “Fortigate”. El aprovechamiento de esta vulnerabilidad permite a un atacante autenticarse para descargar archivos del sistema a través de solicitudes especiales de recursos HTTP especialmente diseñados.
  • CVE-2019-1579 CVSS v3.0 – 8.1 [Alta]: Afecta a ciertas versiones de dispositivos Palo Alto “PAN-OS”. El aprovechamiento de esta vulnerabilidad permite a un atacante remoto no autenticado ejecute código arbitrario.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]
  • CVSS v3.1: 9.8 [Crítico]
  • CVSS v3.1: 8.1 [Alto]

Sistemas/tecnologías afectadas

Vulnerabilidad CVE-2019-19781:

  • Citrix NetScaler ADC y NetScaler Gateway versión 10.5 en todas las versiones anteriores a 10.5.70.12
  • Citrix ADC y NetScaler Gateway versión 11.1 en todas las versiones anteriores a 11.1.63.15
  • Citrix ADC y NetScaler Gateway versión 12.0 en todas las versiones anteriores a 12.0.63.13
  • Citrix ADC y NetScaler Gateway versión 12.1 en todas las versiones anteriores a 12.1.55.18
  • Citrix ADC y Citrix Gateway versión 13.0 y en todas las versiones anteriores a 13.0.47.24
  • Citrix SD-WAN WANOP en los modelos 4000-WO, 4100-WO, 5000-WO, y 5100-WO en todas las versiones de soportadas anteriores a 10.2.6b y 11.0.3b.

Vulnerabilidad CVE-2019-11510:

  • Pulse Connect Secure 9.0R1 – 9.0R3.3
  • Pulse Connect Secure 8.3R1 – 8.3R7
  • Pulse Connect Secure 8.2R1 – 8.2R12
  • Pulse Connect Secure 8.1R1 – 8.1R15
  • Pulse Policy Secure 9.0R1 – 9.0R3.1
  • Pulse Policy Secure 5.4R1 – 5.4R7
  • Pulse Policy Secure 5.3R1 – 5.3R12
  • Pulse Policy Secure 5.2R1 – 5.2R12
  • Pulse Policy Secure 5.1R1 – 5.1R1

Vulnerabilidad CVE-2018-13379:

  • Fortinet FortiOS 6.0.0 a 6.0.4
  • Fortinet FortiOS 5.6.3 a 5.6.7
  • Fortinet FortiOS 5.4.6 a 5.4.12

Vulnerabilidad CVE-2019-1579:

  • PAN-OS versión 7.1.18 y anteriores
  • PAN-OS versión 8.0.11-h1 y anteriores.
  • PAN-OS versión 8.1.2 y anteriores.

Medidas de mitigación

  • Aplicar las actualizaciones de seguridad en los dispositivos VPN, dispositivos de infraestructura de red y los dispositivos que se utilizan de forma remota en entornos de trabajo.
  • Aplicar la resolución de vulnerabilidades identificadas en infraestructura expuesta a Internet.
  • Utilizar sistemas y software con soporte por parte de los fabricantes, que contemplen la liberación de actualizaciones de seguridad y funcionalidad. Si no es posible cambiar las plataformas y aplicaciones sin soporte, considerar controles compensatorios.
  • Realizar una revisión de medidas para mejorar la seguridad en la infraestructura de las organizaciones.
  • Implementar en conexiones VPN autenticación multifactor.
  • Establecer la capacidad de monitoreo de seguridad para la recolección de los datos que serán necesarios para analizar las intrusiones en la red.
  • Revisar y actualizar los procesos de gestión de incidentes.

Referencias