Falhas conhecidas são usadas em ataques de VPNs e dispositivos de rede

Falhas conhecidas são usadas em ataques de VPNs e dispositivos de rede.  EUA alerta que hackers que trabalham para a China estão explorando falhas publicamente conhecidas em dispositivos de rede como parte de ataques mais amplos para roubar e manipular o tráfego de rede.

A Agência de Segurança Nacional (NSA), o Federal Bureau of Investigations (FBI) e a Agência de Segurança Cibernética e Infraestrutura (CISA) listaram 16 falhas no software de dispositivos de rede de 10 marcas, incluindo Cisco, Fortinet, Netgear, MikroTik, Pulse Secure e Citrix que foram divulgadas publicamente entre 2018 e 2021. A maioria das falhas é classificada como crítica. Essas falhas são as mais exploradas por hackers apoiados pela República Popular da China (RPC) desde 2020, segundo as agências. “Desde 2020, os atores cibernéticos patrocinados pelo estado da RPC realizaram campanhas generalizadas para explorar rapidamente vulnerabilidades de segurança identificadas publicamente”, alertam as agências.

Desde 2020, os atores cibernéticos patrocinados pelo estado da RPC realizaram campanhas generalizadas para explorar rapidamente vulnerabilidades de segurança identificadas publicamente, também conhecidas como vulnerabilidades e exposições comuns (CVEs). Essa técnica permitiu que os atores obtivessem acesso às contas das vítimas usando código de exploração disponível publicamente contra serviços de rede privada virtual (VPN) [ T1133 ] ou aplicativos voltados para o público [ T1190 ]—sem usar seu próprio malware distintivo ou identificador—desde que os atores agiram antes que as organizações de vítimas atualizassem seus sistemas. 

O aviso diz respeito a ataques que exploram bugs que afetam roteadores de pequenas empresas, dispositivos de armazenamento conectado à rede (NAS) e VPNs corporativas. Mas as agências também detalham a atividade de varredura e os comprometimentos de servidores de autenticação especializados usados ​​pelas principais empresas de telecomunicações e provedores de serviços de rede. Dispositivos de rede como roteadores de pequenas empresas e dispositivos NAS servem como pontos de acesso adicionais para rotear o tráfego de comando e controle (C2) dos atores.

Essa técnica permitiu que os atores obtivessem acesso às contas das vítimas usando código de exploração disponível publicamente contra serviços de rede privada virtual (VPN) ou aplicativos voltados para o público – sem usar seu próprio malware distintivo ou de identificação – desde que os atores agissem antes que as organizações das vítimas atualizassem seus sistemas”.

O aviso diz respeito a ataques que exploram bugs que afetam roteadores de pequenas empresas, dispositivos de armazenamento conectado à rede (NAS) e VPNs corporativas. Mas as agências também detalham a atividade de varredura e os comprometimentos de servidores de autenticação especializados usados ​​pelas principais empresas de telecomunicações e provedores de serviços de rede. 

Dispositivos de rede como roteadores de pequenas empresas e dispositivos NAS servem como pontos de acesso adicionais para rotear o tráfego de comando e controle (C2) dos atores.  

Os agentes de ameaças apoiados pela China também usaram estruturas de exploração de software de código aberto para roteadores para verificar vulnerabilidades em dispositivos voltados para a Internet. Para comprometer os provedores de telecomunicações, os invasores identificaram servidores RADIUS (Remote Authentication Dial-In User Service) críticos e usaram comandos SQL para despejar credenciais de usuário e administrador do banco de dados subjacente do servidor. 

RADIUS é um padrão de protocolo de rede amplamente suportado para autenticação, autorização e gerenciamento de contabilidade de usuários que acessam uma rede. Usando credenciais dos servidores RADIUS de destino, os atores empregaram scripts automatizados personalizados para roteadores Cisco e Juniper para autenticar em um roteador afetado via Secure Shell (SSH) e executar comandos de roteador. Os atores salvaram a saída desses comandos, incluindo configurações de roteadores individuais, e, em seguida, moveu as informações para sua própria infraestrutura. Tendo obtido configurações de roteador, bem como contas e credenciais válidas, os invasores seriam capazes de manipular o tráfego dentro de uma rede direcionada e exfiltrar o tráfego dela. “Os atores cibernéticos provavelmente usaram scripts adicionais para automatizar ainda mais a exploração de redes de vítimas de médio a grande porte, onde roteadores e switches são numerosos, para reunir um grande número de configurações de roteador que seriam necessárias para manipular com sucesso o tráfego dentro da rede. Armados com contas e credenciais válidas do servidor RADIUS comprometido e das configurações do roteador, os atores cibernéticos retornaram à rede e usaram seu acesso e conhecimento para autenticar e executar comandos de roteador com sucesso para rotear, capturar e exfiltrar o tráfego da rede para a infraestrutura controlada pelo ator.

Atores cibernéticos patrocinados pelo estado da RPC normalmente conduzem suas invasões acessando servidores comprometidos chamados pontos de salto de vários endereços de protocolo de Internet (IP) baseados na China que resolvem para diferentes provedores de serviços de Internet (ISPs) chineses. Os atores cibernéticos normalmente obtêm o uso de servidores alugando acesso remoto direta ou indiretamente de provedores de hospedagem. Eles usam esses servidores para registrar e acessar contas de e-mail operacionais, hospedar domínios C2 e interagir com as redes das vítimas. Os atores cibernéticos usam esses pontos de salto como uma técnica de ofuscação ao interagir com as redes das vítimas.

Esses atores cibernéticos também estão evoluindo e adaptando táticas consistentemente para contornar as defesas. A NSA, a CISA e o FBI observaram atores cibernéticos patrocinados pelo estado monitorando as contas e ações dos defensores da rede e, em seguida, modificando sua campanha em andamento conforme necessário para permanecer indetectáveis. Os atores cibernéticos modificaram sua infraestrutura e conjuntos de ferramentas imediatamente após a divulgação de informações relacionadas às suas campanhas em andamento. Atores cibernéticos patrocinados pelo estado da RPC geralmente misturam seu conjunto de ferramentas personalizado com ferramentas disponíveis publicamente, especialmente aproveitando ferramentas nativas do ambiente de rede, para obscurecer sua atividade misturando-se ao ruído ou à atividade normal de uma rede.

A NSA, a CISA e o FBI consideram as vulnerabilidades e exposições comuns (CVEs) listadas na tabela abaixo como os CVEs de dispositivos de rede mais frequentemente explorados por atores cibernéticos patrocinados pelo estado da RPC desde 2020.

Tipo de vulnerabilidade CVE do fornecedor
Cisco CVE-2018-0171 Execução Remota de Código
CVE-2019-15271 RCE
CVE-2019-1652 RCE
Citrix CVE-2019-19781 RCE
DrayTek CVE-2020-8515 RCE
D-Link CVE-2019-16920 RCE
Fortinet CVE-2018-13382 Ignorar Autenticação
MikroTikGenericName CVE-2018-14847 Ignorar Autenticação
Netgear CVE-2017-6862 RCE
Pulso CVE-2019-11510 Ignorar Autenticação
CVE-2021-22893 RCE
QNAP CVE-2019-7192 Elevação de privilégios
CVE-2019-7193 Injeção Remota
CVE-2019-7194 Ataque de desvio de roteamento XML
CVE-2019-7195 Ataque de desvio de roteamento XML
Zyxel CVE-2020-29583 Ignorar Autenticação
Principais CVEs de dispositivos de rede explorados por atores cibernéticos patrocinados pelo estado da RPC

Mitigações

A NSA, CISA e o FBI pedem às organizações que apliquem as seguintes recomendações, bem como as recomendações de mitigação e detecção no Apêndice A, que são adaptadas às táticas e técnicas observadas. Embora algumas vulnerabilidades tenham mitigações adicionais específicas abaixo, as seguintes mitigações geralmente se aplicam:

  • Mantenha os sistemas e produtos atualizados e corrigidos o mais rápido possível após o lançamento dos patches [ D3-SU ]. Considere alavancar um sistema de gerenciamento de patches centralizado para automatizar e agilizar o processo.
  • Remova ou isole imediatamente dispositivos comprometidos suspeitos da rede [ D3-ITF ] [ D3-OTF ].
  • Segmentar redes para limitar ou bloquear o movimento lateral [ D3-NI ]. 
  • Desabilite serviços de rede, portas, protocolos e dispositivos não utilizados ou desnecessários [ D3-ACH ] [ D3-ITF ] [ D3-OTF ]. 
  • Aplique a autenticação multifator (MFA) para todos os usuários, sem exceção [ D3-MFA ]. 
  • Impor MFA em todas as conexões VPN [ D3-MFA ]. Se a MFA não estiver disponível, aplique os requisitos de complexidade de senha [ D3-SPP ]. 
  • Implemente requisitos rígidos de senha, reforçando a complexidade da senha, alterando as senhas em uma frequência definida e realizando revisões regulares da conta para garantir a conformidade [ D3-SPP ].
  • Executar procedimentos regulares de backup de dados e manter procedimentos atualizados de resposta e recuperação a incidentes. 
  • Desative os recursos de gerenciamento externo e configure uma rede de gerenciamento fora de banda [ D3-NI ].
  • Isole os serviços voltados para a Internet em uma zona desmilitarizada (DMZ) de rede para reduzir a exposição da rede interna [ D3-NI ].
  • Habilite o registro robusto de serviços voltados para a Internet e monitore os registros em busca de sinais de comprometimento [ D3-NTA ] [ D3-PM ].
  • Certifique-se de ter sistemas de gerenciamento dedicados [ D3-PH ] e contas para administradores de sistema. Proteja essas contas com políticas de rede rígidas [ D3-UAP ].
  • Habilite o registro e a revisão robustos de acessos à infraestrutura de rede, alterações de configuração e serviços de infraestrutura crítica executando funções de autenticação, autorização e contabilidade [ D3-PM ]. 
  • Ao responder a um incidente confirmado em qualquer parte de uma rede, as equipes de resposta devem examinar minuciosamente os acessos à infraestrutura de rede, avaliar o potencial movimento lateral para a infraestrutura de rede e implementar ações corretivas compatíveis com suas descobertas.

Veja também:
Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!