18 feb. 2021

Agua envenenada en EE.UU.: escritorios remotos y TeamViewer vulnerables

El 5 de febrero de 2021, actores no identificados obtuvieron acceso no autorizado al sistema de control de supervisión y adquisición de datos (SCADA) en una instalación de tratamiento de agua potable de EE.UU.

Los atacantes no identificados utilizaron el software del sistema SCADA para aumentar la cantidad de hidróxido de sodio, también conocido como lejía, un químico cáustico, como parte del proceso de tratamiento del agua. El personal de la planta de tratamiento de agua notó inmediatamente el cambio en las cantidades de dosificación y corrigió el problema antes de que el software del sistema SCADA detectara la manipulación y se alarmara debido al cambio no autorizado.

Como resultado, el proceso de tratamiento de agua no se vio afectado y siguió funcionando con normalidad. Los actores cibernéticos probablemente accedieron al sistema aprovechando las debilidades de la seguridad, incluida la seguridad deficiente de la contraseña y un sistema operativo desactualizado.

La información preliminar indica que es posible que se haya utilizado un software de uso compartido de escritorio, como TeamViewer, para obtener acceso no autorizado al sistema, aunque esto no se puede confirmar en la actualidad. La respuesta en el lugar al incidente incluyó la Oficina del Sheriff del Condado de Pinellas (PCSO), el Servicio Secreto de los Estados Unidos (USSS) y la Oficina Federal de Investigaciones (FBI).

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Protección Ambiental (EPA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) han observado ciberdelincuentes que atacan y explotan software de uso compartido de escritorio y sistemas operativos antiguos para obtener acceso no autorizado a los sistemas. Informe PDF.

El software para compartir escritorio, que tiene múltiples usos legítimos, como habilitar el trabajo a distancia, el soporte técnico remoto y la transferencia de archivos, también puede explotarse mediante el uso de tácticas de ingeniería social por parte de actores malintencionados y otras medidas ilícitas.

Uso de Windows 7

El 14 de enero de 2020, Microsoft finalizó el soporte para el sistema operativo Windows 7, que incluye actualizaciones de seguridad y soporte técnico a menos que ciertos clientes hayan comprado un plan de Actualización de Seguridad Extendida (ESU). El plan ESU se paga por dispositivo y está disponible para las versiones Windows 7 Professional y Enterprise, con un precio que aumenta cuanto más tiempo lo usa el cliente. Microsoft solo ofrecerá el plan ESU hasta enero de 2023. El uso continuo de Windows 7 aumenta el riesgo de que un actor cibernético explote un sistema informático. 

Windows 7 se volverá más susceptible a la explotación debido a la falta de actualizaciones de seguridad y al descubrimiento de nuevas vulnerabilidades. Microsoft y otros profesionales de la industria recomiendan encarecidamente actualizar los sistemas informáticos a un sistema operativo con soporte activo. Continuar usando cualquier sistema operativo dentro de una empresa más allá del final de su vida útil puede proporcionar acceso a los ciberdelincuentes a los sistemas informáticos. 

Los delincuentes continúan encontrando puntos de entrada en los sistemas operativos heredados de Windows y aprovechan las vulnerabilidades del Protocolo de escritorio remoto (RDP). Microsoft lanzó un parche de emergencia para sus sistemas operativos más antiguos, incluido Windows 7, después de que un investigador de seguridad descubrió una vulnerabilidad de RDP en mayo de 2019.

Desde finales de julio de 2019, la actividad maliciosa de RDP ha aumentado con el desarrollo de un exploit comercial funcional para el vulnerabilidad. Los actores cibernéticos a menudo utilizan controles de acceso de RDP mal configurados o asegurados de manera inadecuada para llevar a cabo ataques cibernéticos. Por ejemplo, xDedic Marketplace, eliminado por las fuerzas del orden público en 2019, se hizo famoso por publicar las vulnerabilidades de RDP en todo el mundo.

Además de ajustar las operaciones del sistema, los atacantes también utilizan las siguientes técnicas:

  • Utilizar el acceso obtenido para realizar transferencias bancarias fraudulentas.
  • Inyectar código malicioso
  • Proteger los archivos maliciosos para que no se detecten
  • Controlar los parámetros de inicio del software para ocultar su actividad.
  • Realizar movimiento lateral a través de una red para aumentar el alcance de la actividad.

TeamViewer vulnerable

TeamViewer es una herramienta popular legítima que ha sido explotada por atacantes involucrados en ataques de ingeniería social dirigidos, así como en campañas de phishing indiscriminadas a gran escala. Más allá de sus usos legítimos, cuando no se siguen las medidas de seguridad adecuadas, las herramientas de acceso remoto pueden usarse para ejercer control remoto sobre los sistemas informáticos y colocar archivos en las computadoras de las víctimas, lo que lo hace funcionalmente similar a los troyanos de acceso remoto (RAT).

El uso legítimo de TeamViewer hace que las actividades anómalas sean menos sospechosas para los usuarios finales y los administradores del sistema en comparación con las RAT.

Recomendaciones generales

Las siguientes medidas pueden ayudar a proteger contra el esquema mencionado anteriormente:

  • Actualizar a la última versión del sistema operativo (por ejemplo, Windows 10).
  • Actualizar a las últimas versiones de RDP, TeamViewer, VNC, etc.
  • Utilizar autenticación de múltiples factores.
  • Utilizar contraseñas seguras para proteger las credenciales de RDP.
  • Utilizar antivirus, filtros de correo no deseado y firewalls actualizados y configurados correctamente.
  • Auditar las configuraciones de red y aillar los sistemas informáticos que no se puedan actualizar.
  • Auditar la red en busca de sistemas que utilicen RDP y cerrar los puertos RDP no utilizados.
  • Registros de auditoría para todos los protocolos de conexión remota.
  • Capacitar a los usuarios para identificar y reportar intentos de ingeniería social.
  • Identificar y suspender el acceso de usuarios que exhiban una actividad inusual.

Recomendaciones de seguridad para los sistemas SCADAs

Las siguientes medidas de seguridad física sirven como medidas de protección adicionales:

  • Instalar sistemas de seguridad físicos independientes. Estos son sistemas que evitan físicamente que ocurran condiciones peligrosas si el sistema de control se ve comprometido por un atacante.
  • El beneficio de este tipo de controles en el sector es que los sistemas más pequeños, con una capacidad de ciberseguridad limitada, pueden evaluar su sistema desde el peor de los casos. Los operadores pueden tomar medidas físicas para limitar el daño. Si, por ejemplo, los atacantes obtienen el control de una bomba de hidróxido de sodio, no podrán elevar el pH a niveles peligrosos.

Recomendaciones de software de control remoto

Para una implementación más segura del software TeamViewer:

  • Actualizar a las últimas versiones de TeamViewer. 
  • No utilizar funciones de acceso desatendido, como "Start TeamViewer with Windows" y "Grant easy access".
  • Configurar el servicio TeamViewer en "Manual start", de modo que la aplicación y los servicios en segundo plano asociados se detengan cuando no estén en uso.
  • Establecer contraseñas aleatorias y generar contraseñas alfanuméricas de 10 caracteres.
  • Si usa contraseñas personales, utilizar contraseñas rotativas complejas de diferentes longitudes.
    Nota: TeamViewer permite a los usuarios cambiar las contraseñas de conexión para cada nueva sesión. Si un usuario final elige esta opción, nunca guardar las contraseñas de conexión como una opción, ya que se pueden aprovechar para la persistencia.
  • Al configurar el control de acceso para un host, utilizar configuraciones personalizadas para escalonar el acceso que una parte remota puede intentar adquirir.
  • Exigir que la parte remota reciba la confirmación del host para obtener cualquier acceso que no sea "solo ver". Si lo hace, se asegurará de que, si una parte no autorizada puede conectarse a través de TeamViewer, solo verá una pantalla bloqueada y no tendrá el control del teclado.
  • Utiliczar la lista "Bloquear y permitir" que permite a un usuario controlar qué otros usuarios de la organización de TeamViewer pueden solicitar acceso al sistema. Esta lista también se puede utilizar para bloquear a los usuarios sospechosos de acceso no autorizado.

Fuente: CISA

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!