24 abr. 2021

Atacantes aprovecharon Pulse Secure VPN en el caso de SolarWinds

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha revelado detalles de una nueva amenaza persistente avanzada (APT) que aprovecha el backdoor de Supernova para comprometer las instalaciones de SolarWinds Orion después de obtener acceso a la red a través de una conexión a un dispositivo Pulse Secure VPN.

"El actor de amenazas se conectó a la red de la entidad a través de un dispositivo de red privada virtual (VPN) Pulse Secure, se trasladó lateralmente a su servidor SolarWinds Orion, instaló malware denominado por los investigadores de seguridad SUPERNOVA (un shell web .NET) y recopiló credenciales", dijo la agencia el jueves.

CISA dijo que identificó al actor de la amenaza durante un compromiso de respuesta a incidentes en una organización anónima y descubrió que el atacante tuvo acceso a la red de la empresa durante casi un año mediante el uso de las credenciales de VPN entre marzo de 2020 y febrero de 2021.

Curiosamente, se dice que el adversario utilizó cuentas válidas que no tenían habilitada la autenticación multifactor (MFA), en vez de explotar una vulnerabilidad, para conectarse a la VPN, lo que les permitió hacerse pasar por empleados legítimos de teletrabajo de la entidad afectada.

En diciembre de 2020, Microsoft reveló que un segundo grupo de espionaje podría haber estado abusando del software Orion del proveedor de infraestructura de TI para colocar una puerta trasera persistente llamada Supernova en los sistemas de destino. Desde entonces, las intrusiones se han atribuido a un actor de amenazas vinculado a China llamado Spiral.

A diferencia de Sunburst y otras piezas de malware que se han conectado al compromiso SolarWinds, Supernova es un shell web .NET implementado modificando un módulo "app_web_logoimagehandler.ashx.b6031896.dll" de la aplicación SolarWinds Orion. Las modificaciones fueron posibles al aprovechar una vulnerabilidad de omisión de autenticación en la API de Orion rastreada como CVE-2020-10148, lo que a su vez permite que un atacante remoto ejecute comandos de API no autenticados.

Se está llevando a cabo una investigación sobre el incidente. Mientras tanto, CISA recomienda a las organizaciones que implementen MFA para cuentas privilegiadas, habiliten firewalls para filtrar solicitudes de conexión no solicitadas, impongan políticas de contraseñas seguras y protejan el Protocolo de escritorio remoto (RDP) y otras soluciones de acceso remoto.

Fuente: CISA

Suscríbete a nuestro Boletín

2 comentarios:

  1. Dice todo lo contrario, que curiosamente accedió con cuentas que no tenían habilitados el MFA y que se desconoce como el TA pudo hacerse con dichas credenciales.

    The threat actor authenticated to the VPN appliance through several user accounts (Valid Accounts [T1078]), none of which had multi-factor authentication (MFA) enabled.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!