Atacantes comprometen VPN de Cisco para robar credenciales

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Otro producto de Cisco está siendo el objetivo de los atacantes que buscan permanecer dentro de las redes de computadoras y sistemas de varias organizaciones, advierten los investigadores de Volexity.

“Los Clientes de Cisco de VPN SSL (web VPN) es un portal web que puede estar habilitado en los dispositivos Cisco Adaptive Security Appliance (ASA) de una organización”, explicaron los investigadores. “Una vez que el usuario es autenticado en la interfaz web de la VPN, basado en los permisos que tiene, puede ser capaz de ingresar a los recursos de la red interna, navegar ente los archivos internos compartidos e intstalar plugins que les permitan conectarse con Telnet, SSH o VCN para acceder a los recursos internos.”

Atacantes comprometen VPN de Cisco para robar credenciales

Los atacantes están aprovechando tanto las vulnerabilidades en el producto como buscando accesos de administrador de otras maneras, pero el objetivo es el mismo: implantar código JavaScript en las páginas de autenticación de la VPN con el fin de obtener las credenciales de los empleados.

La vulnerabilidad mencionada anteriormente (CVE-2014-3393) fue remediada hace un año. A pesar de eso, las organizaciones han sido lentas en implementar la mejora y los atacantes están tomando ventaja de la falla.

El JavaScript inyectado en el Cisco Web VPN que roba la información de autenticación de las organizaciones objetivo está normalmente almacenado en un sitio legítimo pero comprometido, y es lanzado cada vez que los usuarios ingresan al portal.

De acuerdo con los investigadores, se realizaron ataques contra instituciones médicas y académicas, negocios de electrónicos y de manufactura, así como a grupos de reflexión, ONG y gobiernos.

“Volexity sabe que es 100% posible, y argumenta que es probable en algunos casos, que los atacantes aprovecharan credenciales de acceso administrativo a un dispositivo Cisco ASA con el fin de modificar la página de inicio de sesión”, también explicaron que esto se puede hacer a través del Administrador del dispositivo Cisco Adaptive Security Device Manager (ASDM), una interfaz administrativa de Java para servidores de seguridad de Cisco a la que se puede acceder a través de un navegador web.

“El acceso a los dispositivos ASDM se debe restringir a través de listas de control de acceso (ACL) de la mejor forma posible. Como mínimo, esta interfaz no debe estar abierta a Internet. Los atacantes son capaces de ingresar a esta interfaz al tener acceso al entorno de la víctima o, debido a una mala configuración de ACL, se puede modificar fácilmente el código que se carga a través de la página de acceso web de Cisco VPN”, señalaron.

Fuente:http://www.seguridad.unam.mx/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Tags: