CISA: los hackers estatales chinos están explotando errores de F5, Citrix, Pulse Secure y Exchange



La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado hoy un aviso de seguridad advirtiendo sobre una ola de ataques llevados a cabo por grupos de piratería afiliados al Ministerio de Seguridad del Estado de China (MSS). CISA dice que durante el año pasado, los piratas informáticos chinos han escaneado las redes del gobierno de EE. UU. En busca de la presencia de dispositivos de red populares y luego han utilizado exploits para vulnerabilidades recientemente reveladas para afianzarse en redes sensibles. La lista de dispositivos específicos incluye equilibradores de carga F5 Big-IP, dispositivos Citrix y Pulse Secure VPN y servidores de correo electrónico de Microsoft Exchange.
Para cada uno de estos dispositivos, se han revelado públicamente vulnerabilidades importantes durante los últimos 12 meses, como CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 y CVE-2020-0688, respectivamente. Según una tabla que resume la actividad china dirigida a estos dispositivos publicada hoy por CISA, algunos ataques han tenido éxito y han permitido a los piratas informáticos chinos hacerse un hueco en las redes federales. Estos ataques no son nuevos en sí.
ZDNet informó el año pasado que los piratas informáticos del estado chino se habían dirigido a los servidores VPN Pulse Secure y Fortinet menos de un mes después de que las vulnerabilidades se hicieran públicas. Además, los piratas informáticos chinos no son los únicos que se dirigen a estos dispositivos de red en particular. Los dispositivos enumerados anteriormente también han sido atacados por actores estatales iraníes, según un informe del sector privado de ciberseguridad y una alerta de ciberseguridad publicada por el FBI el mes pasado.
Un grupo iraní ha comprometido masivamente este tipo de dispositivos y luego ha proporcionado acceso a otros grupos iraníes, lo que les permite seleccionar las redes que querían comprometer para las operaciones de recopilación de inteligencia. Los dispositivos comprometidos que no fueron seleccionados luego se pusieron a la venta en foros clandestinos de piratería, según un informe de Crowdstrike. La alerta CISA advierte al sector privado y las agencias gubernamentales de Estados Unidos que parcheen los dispositivos F5, Citrix, Pulse Secure y Microsoft Exchange.
Sin embargo, la alerta también advierte que los piratas informáticos chinos están empleando un amplio espectro de otros métodos de intrusión. Estos también incluyen el uso de correos electrónicos de spear-phishing, un ataque clásico empleado por los actores estatales chinos, y el uso de ataques de fuerza bruta que aprovechan las credenciales débiles o predeterminadas. Una vez que los piratas informáticos chinos están dentro de las redes objetivo, también suelen implementar herramientas comerciales y de código abierto para moverse lateralmente a través de las redes y exfiltrar datos.
Esto incluye el uso de herramientas legítimas de prueba de penetración como Cobalt Strike y Mimikatz. Cuando los ataques apuntan a sistemas web públicos, como VPN, servidores web y de correo electrónico, CISA dijo que a menudo detectaba a los piratas informáticos chinos implementando el shell web China Chopper, una herramienta común que han utilizado durante casi una década. Los funcionarios de CISA recomiendan que los equipos de seguridad de las empresas privadas y del sector privado y las agencias gubernamentales lean su informe, tomen nota de las tácticas, técnicas y procedimientos (TTP) comunes utilizados por los actores estatales chinos, apliquen parches a los dispositivos e implementen las reglas de detección en consecuencia.
pags VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı