En su más reciente reporte, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) alertó a los usuarios de dispositivos Pulse Secure sobre el hallazgo de al menos 13 muestras de malware encontradas en dispositivos afectados. Estos dispositivos han sido objetivo de frecuentes incidentes de seguridad en empresas privadas y organizaciones gubernamentales en E.U. al menos desde 2020.
Estos ataques están estrechamente relacionados con las vulnerabilidades identificadas como CVE-2019-11510, CVE-2020-8260 y CVE-2021-2289, que permiten a los actores de amenazas encontrar puntos de acceso inicial y colocar webshells para obtener acceso backdoor al sistema objetivo.
La agencia publicó un reporte detallado sobre las 13 muestras de malware detectadas en los dispositivos comprometidos con el fin de que los administradores de TI cuenten con la información más actualizada sobre esta campaña de hacking, sus métodos de ataque e indicadores de compromiso.
Como se menciona al inicio, todas las muestras analizadas por CISA fueron detectadas en dispositivos Pulse Connect Secure y en su mayoría se trata de versiones modificadas de scripts legítimos. Estos actuaban como webshells para la ejecución de comandos remotos que permiten generar persistencia y obtener acceso remoto a los sistemas vulnerables, además de otras utilidades.
Una de las muestras de malware analizadas a mayor detalle es descrita por CISA como una versión modificada del módulo Pulse Secure Perl, la piedra angular en el proceso de actualización del sistema en estos dispositivos. Los actores de amenazas lograron modificar el archivo para ejecutar comandos arbitrarios de forma remota.
Entre los archivos legítimos de Pulse Secure modificados por los hackers se encuentran:
- licenseserverproto.cgi (STEADYPULSE)
- tnchcupdate.cgi
- healthcheck.cgi
- compcheckjs.cgi
- DSUpgrade.pm.current
- DSUpgrade.pm.rollback
- clear_log.sh (THINBLOOD LogWiper Utility Variant)
- compcheckjava.cgi (hardpulse)
- meeting_testjs.cgi (SLIGHTPULSE)
Un reporte anterior de la firma de seguridad Mandiant también había señalado la detección de múltiples incidentes relacionados con la modificación de archivos legítimos en Pulse Secure. Los investigadores de Mandiant atribuyeron esta campaña de hacking a un grupo de APT chino dedicado a la explotación de CVE-2021-22893. Estos reportes mencionaban que los hackers fueron capaces de modificar los archivos de sistema Pulse Secure para extraer las credenciales de los usuarios afectados.
La Agencia concluyó su reporte enlistando algunas recomendaciones de seguridad para mitigar el riesgo de ataque:
- Mantener las firmas y soluciones antivirus actualizadas
- Mantener actualizado su sistema operatvo
- Deshabilitar los servicios para compartir archivos e impresoras o bien usarlos solo con contraseñas seguras o con autenticación de Active Directory
- Restringir los permisos de los usuarios para la instalación y ejecución aplicaciones de software no deseadas y mantener un número reducido de usuarios administrativos
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
