El parche de Pulse Secure VPN no evita que los hackers lo espíen

Durante los más recientes meses se han descubierto múltiples fallas de seguridad afectando las soluciones de red privada virtual (VPN) de compañías como Palo Alto Networks, Fortinet y Pulse Secure, que podrían ser explotadas por actores de amenazas para conseguir acceso a las redes de una compañía objetivo y robar información confidencial o realizar actividades de espionaje, mencionan especialistas en seguridad lógica.

Pulse Secure es la compañía que más reportes ha recibido últimamente, con un total de 10 vulnerabilidades identificadas desde marzo del año pasado. La más severa de estas fallas (identificada como CVE-2019-11510) podría ser explotada para la ejecución de código arbitrario. Esta vulnerabilidad recibió un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS).

Según los reportes de la Agencia de Seguridad Nacional (NSA), durante el año pasado se localizaron más de 14 mil servidores VPN expuestos a la explotación de esta falla en todo el mundo, además de que se identificaron campañas de explotación activa. A pesar de que Pulse Secure emitió parches para corregir esta vulnerabilidad en agosto de 2019, expertos en seguridad lógica de la Agencia de Seguridad de Ciberseguridad e Infraestructura de E.U. (CISA) afirma que la instalación de estos parches no ha sido suficiente para prevnir la explotación de CVE-2019-11510.

Acorde a CISA, los actores de amenazas podrían contar con acceso a las redes comprometidas incluso después de la instalación del parche, pues la vulnerabilidad consistía en la extracción de contraseñas sin formato, y la mitigación del riesgo involucraba el restablecimiento de las contraseñas de los usuarios de la VPN: “A pesar de que se lanzaron parches de seguridad, hemos detectado incidentes de seguridad que involucran el uso de credenciales de Active Directory expuestas durante el tiempo posterior al lanzamiento de estas mitigaciones”, menciona CISA.

Al parecer, los actores de amenazas empleaban el navegador Tor para conectarse a los entornos comprometidos y servidores VPN para evitar la detección. Posteriormente, los hackers crean tareas programadas, instalan malware de acceso remoto y emplean otras herramientas para generar persistencia en el sistema objetivo, mencionan los especialistas en seguridad lógica.

CISA reveló un reporte sobre un ataque en específico, en el que el actor de amenazas intentaba vender las credenciales robadas después de completar numerosos intentos para conectarse a una implementación de Pulse Secure e instalar malware en el sistema comprometido. Este hacker (o grupo de hackers) ha sido vinculado a otros intentos de ataque.

Al respecto, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a cualquier usuario, individual o corporativo, de Pulse Secure VPN actualizar sus implementaciones a la brevedad, además de restablecer sus credenciales de acceso, para evitar la explotación de esta vulnerabilidad.