El Buró Federal de Investigaciones (FBI) emitió un reporte en el que advierte que un grupo de hackers patrocinados por estados nacionales está operando una campaña de explotación masiva de una falla en FortiOS, el sistema operativo de la popular firma de seguridad Fortinet.
Este reporte, emitido en conjunto con la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) señala que los atacantes realizan escaneos masivos en los puertos 4443, 8443 y 10443 con el objetivo de encontrar implementaciones no actualizadas con los parches de seguridad para CVE-2018-13379, CVE-2019-5591 y CVE-2020-12812.
“Es probable que los hackers maliciosos busquen la oportunidad de explotar estas vulnerabilidades para obtener acceso a múltiples redes de servicios gubernamentales, comerciales y tecnológicos. La explotación permitiría realizar ataques de denegación de servicio (DoS), infecciones de ransomware, campañas de phishing e inyección SQL”, señala el reporte.
Las fallas fueron descritas como se presenta a continuación:
- CVE-2018-13379: Vulnerabilidad path traversal en la que el portal SSL VPN permite a un actor de amenazas no autenticado descargar archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas
- CVE-2019-5591: Falla de configuración predeterminada en FortiOS que permitiría a los atacantes no autenticados en la misma subred interceptar información potencialmente confidencial haciéndose pasar por el servidor LDAP
- CVE-2020-12812: Falla de autenticación incorrecta en SSL VPN que permitiría que los usuarios inicien sesión correctamente sin que se le solicite completar la autenticación multifactor
En caso de explotar estas fallas, los actores de amenazas pueden realizar ataques de movimiento lateral contra los sistemas afectados: “Los grupos de hacking pueden emplear cualquiera de estas tres fallas para realizar ataques de extracción de datos, además de emplear métodos de ingeniería social para acceder a infraestructura crítica”, señala el reporte.
Esta alerta de seguridad sigue la tendencia con la que CISA y el FBI cerraron el 2020, cuando emitieron continuos reportes sobre los grupos de hacking explotando vulnerabilidades sin corregir. En octubre pasado, las agencias reportaron la explotación masiva de diversas fallas en soluciones VPN de firmas como Fortinet, Palo Alto Networks y Pulse Secure.
Por el momento las agencias no revelaron información sobre los grupos de hacking que están desplegando estas campañas, aunque como de costumbre la comunidad de la ciberseguridad ha vinculado estos reportes con hackers de Rusia y China.
El reporte concluye agregando algunas recomendaciones para prevenir la explotación de estas fallas:
- Instalar las actualizaciones para corregir CVE 2018-13379, 2020-12812 y 2019-5591
- Si no usa FortiOS, se recomienda agregar los archivos relacionados con la explotación a la lista de denegación de ejecución en las organizaciones vulnerables
- Realizar copias de seguridad con regularidad y establecer contraseñas para todas las copias de seguridad, además de implementar mecanismos contra la copia o edición de los respaldos de seguridad
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Fuente: notiseguridad