Advierten sobre brechas en productos VPN de Pulse Secure, Fortinet y Palo Alto usadas in-the-wild
"Un atacante remoto podría explotar estas vulnerabilidades para tomar el control de un sistema afectado", advirtió la NSA, antes de recomendar a los administradores revisar los avisos de seguridad publicados por Palo Alto, Fortinet y Pulse Secure, y aplicar las actualizaciones necesarias. Los tres productos han sido parcheados por los vendedores.
Por su parte, la agencia británica GCHQ escribe: "Esta actividad está en curso con APT dirigidas tanto a organizaciones británicas como internacionales. Los sectores afectados incluyen el gobierno, el ejército, el mundo académico, los negocios y la salud. Estas vulnerabilidades están bien documentadas en código abierto y son utilizadas por APT de China".
Según GCHQ, "existen vulnerabilidades en varios productos SSL VPN que permiten a un atacante recuperar archivos arbitrarios, incluidos aquellos que contienen credenciales de autenticación. Un atacante puede utilizar estas credenciales robadas para conectarse a la VPN y cambiar la configuración, o conectarse a otra infraestructura interna. La conexión no autorizada a una VPN también podría proporcionar al atacante los privilegios necesarios para ejecutar exploits secundarios destinados a acceder a un directorio de root".
David Grout, Director Técnico de EMEA en FireEye, subrayó la necesidad de instalar los parches [PDF] lo antes posible, ya que las vulnerabilidades ya están muy explotadas en el campo y los exploits están disponibles para su descarga. "Las vulnerabilidades se presentaron por primera vez en BlackHat en agosto de este año [PDF] y hemos observado múltiples campañas que las han explotado en las últimas semanas. Los atacantes pueden utilizar las vulnerabilidades para obtener acceso a las cuentas del gateway VPN, lo que significa que pueden cambiarlas o acceder a las redes de la víctima", dijo Grout, añadiendo que "de momento, las organizaciones deberían revisar todos sus registros y buscar actividades anormales en sus dispositivos. Si es posible, deberían restablecer la autenticación en todos los dispositivos afectados y recomiendo encarecidamente a los clientes que utilicen estas VPN que implementen la autenticación multifactorial para limitar los ataques de reutilización de contraseñas".
Las notificaciones y parches están disponibles en los siguientes enlaces:
Fuente: DiarioTI
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!