14 oct 2019

Advierten sobre brechas en productos VPN de Pulse Secure, Fortinet y Palo Alto usadas in-the-wild

Las VPNs son una forma muy utilizada por los usuarios para navegar por la web de forma anónima, o para acceder a sitios web o contenidos que normalmente estarían bloqueados en ciertos países. Tanto China como Rusia, por ejemplo, bloquean sistemáticamente el acceso a los servicios VPN.

"Un atacante remoto podría explotar estas vulnerabilidades para tomar el control de un sistema afectado", advirtió la NSA, antes de recomendar a los administradores revisar los avisos de seguridad publicados por Palo Alto, Fortinet y Pulse Secure, y aplicar las actualizaciones necesarias. Los tres productos han sido parcheados por los vendedores.

Por su parte, la agencia británica GCHQ escribe: "Esta actividad está en curso con APT dirigidas tanto a organizaciones británicas como internacionales. Los sectores afectados incluyen el gobierno, el ejército, el mundo académico, los negocios y la salud. Estas vulnerabilidades están bien documentadas en código abierto y son utilizadas por APT de China".

Según GCHQ, "existen vulnerabilidades en varios productos SSL VPN que permiten a un atacante recuperar archivos arbitrarios, incluidos aquellos que contienen credenciales de autenticación. Un atacante puede utilizar estas credenciales robadas para conectarse a la VPN y cambiar la configuración, o conectarse a otra infraestructura interna. La conexión no autorizada a una VPN también podría proporcionar al atacante los privilegios necesarios para ejecutar exploits secundarios destinados a acceder a un directorio de root".

David Grout, Director Técnico de EMEA en FireEye, subrayó la necesidad de instalar los parches [PDF] lo antes posible, ya que las vulnerabilidades ya están muy explotadas en el campo y los exploits están disponibles para su descarga. "Las vulnerabilidades se presentaron por primera vez en BlackHat en agosto de este año [PDF] y hemos observado múltiples campañas que las han explotado en las últimas semanas. Los atacantes pueden utilizar las vulnerabilidades para obtener acceso a las cuentas del gateway VPN, lo que significa que pueden cambiarlas o acceder a las redes de la víctima", dijo Grout, añadiendo que "de momento, las organizaciones deberían revisar todos sus registros y buscar actividades anormales en sus dispositivos. Si es posible, deberían restablecer la autenticación en todos los dispositivos afectados y recomiendo encarecidamente a los clientes que utilicen estas VPN que implementen la autenticación multifactorial para limitar los ataques de reutilización de contraseñas".

Las notificaciones y parches están disponibles en los siguientes enlaces:
Fuente: DiarioTI

    No hay comentarios.:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!