Los piratas informáticos están desatando activamente ataques que intentan robar claves de cifrado, contraseñas y otros datos confidenciales de servidores que no aplicaron soluciones críticas para dos productos de red privada virtual (VPN) ampliamente utilizados, dijeron los investigadores.
Las vulnerabilidades pueden explotarse mediante el envío de solicitudes web a los servidores sin parches que contienen una secuencia especial de caracteres, dijeron a principios de este mes los investigadores en la conferencia de seguridad Black Hat en Las Vegas. Las vulnerabilidades de lectura de archivos de autorización previa residían en la VPN SSL de Fortigate, instalada en unos 480 000 servidores, y la VPN SSL de Pulse Secure de la competencia, instalada en unas 50 000 máquinas, informaron investigadores de Devcore Security Consulting.
Los investigadores de Devcore descubrieron otras vulnerabilidades críticas en ambos productos. Estos hacen posible que los atacantes, entre otras cosas, ejecuten código malicioso y cambien contraseñas de forma remota. Los parches para Fortigate VPN estuvieron disponibles en mayo y en abril para Pulse Secure. Pero la instalación de los parches a menudo puede causar interrupciones en el servicio que impiden que las empresas realicen tareas esenciales.
Los escaneos de Internet realizados durante el fin de semana por el servicio de inteligencia de seguridad Bad Packets muestran que hay 14.528 puntos finales de Pulse Secure VPN vulnerables a fallas que actualmente se están explotando, en comparación con un escaneo anterior que encontró alrededor de 2.658 servidores sin parches. Los servidores vulnerables se encontraron en 121 países. A continuación se muestra un desglose de los países más afectados:
troy mursch
Los escaneos encontraron que los puntos finales vulnerables pertenecían a aproximadamente 2535 bloques de direcciones IP conocidas como sistemas autónomos. Esos AS pertenecen a una variedad de organizaciones sensibles, que incluyen:
- Agencias gubernamentales militares, federales, estatales y locales de EE. UU.
- Universidades y colegios públicos
- Hospitales y proveedores de atención médica
- Principales instituciones financieras
- Otras empresas de Fortune 500
Pulverizando Internet
Durante las últimas 36 horas, los piratas informáticos han comenzado a rociar Internet con código que intenta explotar esa dificultad de manera oportunista, dijo el investigador independiente Kevin Beaumont. Dijo que encontró ataques contra los servidores de Fortigate provenientes de 91.121.209.213, una dirección IP que tiene un historial de mala conducta anterior. Un escaneo el viernes usando el motor de búsqueda BinaryEdge mostró que una nueva dirección IP, 52.56.148.178, también había comenzado a rociar exploits para la misma vulnerabilidad.
A principios de este mes, dos muestras del código de explotación para CVE-2023-13379, a medida que se rastrea la vulnerabilidad, se pusieron a disposición del público aquí y aquí. El primero en realidad obtiene datos almacenados en máquinas vulnerables, mientras que el segundo simplemente verifica si una máquina es vulnerable.
Mientras tanto, dijo Beaumont, los ataques que intentan explotar los servidores Pulse Secure sin parches provienen de 2.137.127.2. El código de explotación estuvo disponible públicamente a principios de esta semana. Troy Mursch, el investigador independiente detrás de Bad Packets, dijo que también encontró ataques provenientes de 81.40.150.167 que también intentan explotar o probar la vulnerabilidad, que está indexada como CVE-2023-11510. En el caso de que uno de los escaneos masivos identifique un servidor vulnerable, puede explotar una falla de ejecución de código que también descubrieron los investigadores de Devcore.
“Estos escaneos están dirigidos a puntos finales que son vulnerables a la lectura arbitraria de archivos que conducen a la divulgación de información confidencial de claves privadas y contraseñas de usuarios”, dijo Mursch a Ars. «Estas credenciales se pueden usar para realizar más ataques de inyección de comandos (CVE-2023-11539) y obtener acceso a la red privada que permite más actividades maliciosas».
Mursch dijo que el servidor honeypot que usó para detectar los ataques también pudo identificar que la dirección IP 2.137.127.2 también apuntaba a la vulnerabilidad Pulse Secure. Dijo que no creía que ninguna de las IP fuera operada por un investigador que simplemente estaba buscando servidores sin parches. Su honeypot no pudo detectar el código que atacaba la vulnerabilidad de Fortigate. Beaumont estaba usando un honeypot proporcionado por BinaryEdge.
Las vulnerabilidades son graves porque afectan a una pieza de software que se requiere para ser accesible en Internet y que actúa como puerta de entrada a partes altamente sensibles de la red de una organización. La obtención de contraseñas hash y, en algunos casos, de texto sin formato, claves de cifrado y otros datos confidenciales, podría permitir que las personas penetren en esas redes. Con más trabajo, los atacantes que identifican servidores sin parches también podrían explotar las otras vulnerabilidades que encontraron los investigadores de Devcore. Una falla de Fortigate, a la que denominaron «La puerta trasera mágica», permite a los atacantes remotos que conocen una clave codificada cambiar las contraseñas.
Representantes de Fortinet y Pulse Secure dijeron que las compañías han estado instando a los clientes durante meses a parchear sus sistemas lo antes posible. Ninguna de las compañías pudo confirmar o ampliar los informes de escaneo provenientes de Beaumont y Mursch. Las organizaciones que usan cualquiera de estas VPN deberían tomarse un tiempo ahora para asegurarse de que no sean vulnerables.
Publicación actualizada el 26/08/2023 a las 13:04 para reflejar los números actualizados de los nuevos escaneos.
