Un APT chino ahora persigue a los servidores Pulse Secure y Fortinet VPN


Investigadores de seguridad detectan hackers chinos patrocinados por el estado que persiguen servidores VPN empresariales de alta gama.

Un grupo de hackers patrocinados por el estado chino está apuntando a servidores VPN empresariales de Fortinet y Pulse Secure después de que los detalles sobre fallas de seguridad en ambos productos se hicieron públicos el mes pasado.

Los ataques están siendo llevados a cabo por un grupo conocido como APT5 (también conocido como Manganeso), ZDNet ha aprendido de fuentes familiarizadas con los ataques.

Según un informe de FireEye, APT5 ha estado activo desde 2007 y "parece ser un gran grupo de amenazas que consta de varios subgrupos, a menudo con tácticas e infraestructura distintas".

FireEye dice que el grupo ha apuntado o violado organizaciones en múltiples industrias, pero su enfoque parece estar principalmente en compañías de telecomunicaciones y tecnología, y tiene un interés especial en las empresas de comunicaciones satelitales.

Los ataques APT5 comenzaron el último mes
A partir de fines de agosto, un subgrupo del grupo paraguas APT5 más grande parece haber establecido una infraestructura a través de la cual comenzaron a realizar exploraciones en Internet para buscar servidores VPN Fortinet y Pulse Secure.

APT5 fue uno de los primeros en comenzar a escanear Internet y luego intentó explotar dos vulnerabilidades en los dos productos de servidor VPN.

Los detalles sobre estas dos vulnerabilidades se presentaron dos semanas antes, en la conferencia de seguridad de Black Hat USA, en Las Vegas.

Ambas vulnerabilidades (CVE-2018-13379 para Fortinet y CVE-2019-11510 para Pulse Secure) se denominan "lecturas de archivos preautorizadas", que permiten a un atacante recuperar archivos del servidor VPN sin necesidad de autenticarse.

APT5, y otros grupos de amenazas, estaban utilizando estas dos vulnerabilidades para robar archivos que almacenan información de contraseña o datos de sesión VPN de los productos afectados. Estos archivos habrían permitido a los atacantes hacerse cargo de los dispositivos vulnerables.

Las fuentes que observaron los ataques APT5 dijeron que no estaban en condiciones de determinar si el grupo logró infringir los dispositivos.

Los servidores VPN dirigidos son productos de alta gama
Tanto Fortigate SSL VPN de Fortinet como los productos SSL VPN de Pulse Secure son extremadamente populares. Por ejemplo, Fortigate's Fortigate VPN es el líder absoluto del mercado, con más de 480,000 servidores Fortigate SSL VPN que operan en todo el mundo.

Por otro lado, la VPN SSL de Pulse Secure se considera el producto de gama más alta del mercado SSL VPN, ya que se instala para proteger el acceso a las redes internas en muchas compañías de Fortune 500, las firmas tecnológicas más grandes de Internet y agencias gubernamentales.

Según la firma de inteligencia de amenazas Bad Packets LLC, hay alrededor de 42,000 servidores Pulse Secure VPN disponibles en línea.

Muchas empresas no pudieron parchear
Tanto las vulnerabilidades Fortinet como Pulse Secure fueron descubiertas a principios de este año por investigadores de seguridad de una compañía llamada Devcore.

Los problemas fueron reportados a ambos proveedores en marzo, y ambos vendedores los revisaron con la mayor urgencia, dijo Devcore en dos publicaciones de blog que describen ambos problemas [1, 2]. Pulse Secure lanzó un parche en abril, y Fortinet siguió con el suyo en mayo.

Sin embargo, parece que los propietarios de estos dos servidores VPN SSL no han podido instalar estos parches. Las razones para no hacerlo varían.

Por un lado, ha habido muchos clientes de Fortinet que informaron en las redes sociales que ni siquiera sabían que había una solución de seguridad disponible para Fortigate VPN, y mucho menos que tenían que parchear.

La compañía no devolvió una solicitud de comentarios enviada a principios de esta semana, en busca de más información. Sin embargo, Fortinet publicó una publicación de blog días antes, el 28 de agosto, para que el tema de su parche de mayo vuelva a llamar la atención de los lectores de su sitio.

PULSE SEGURO CLIENTES AVISADOS Y CONTACTADOS
Por otro lado, Pulse Secure fue mucho más activo en notificar a los clientes, pero eso no significaba que los clientes escucharan los consejos de la compañía.

Un escaneo a mediados de agosto descubrió que casi 14,500 de los 42,000 servidores VPN SSL Secure Pulse todavía ejecutaban una versión vulnerable. Un segundo escaneo realizado la semana pasada encontró que el número apenas bajó, llegando a 10,500.

Pero la culpa aquí no parece estar en Pulse Secure.

"No solo emitimos un Aviso de seguridad pública - SA44101, sino que comenzamos ese día en abril, informamos activamente a nuestros clientes, socios y proveedores de servicios sobre la disponibilidad y la necesidad del parche por correo electrónico, alertas en el producto, en nuestro sitio de la comunidad, dentro de nuestro portal de socios y nuestro sitio web de atención al cliente ", Scott Gordon, Director de Marketing de Pulse Secure, le dijo a ZDNet en un correo electrónico, describiendo los esfuerzos de la compañía para notificar a los clientes.

"Nuestros gerentes de éxito de clientes también se han estado contactando y trabajando directamente con los clientes", agregó. "Además, los ingenieros de soporte de Pulse Secure han estado disponibles las 24 horas del día, los 7 días de la semana, incluidos los fines de semana y feriados, para ayudar a los clientes que necesitan asistencia para aplicar el parche.

"También ofrecimos asistencia a los clientes para aplicar el parche para estas vulnerabilidades, incluso si no tenían un contrato de mantenimiento activo", dijo Gordon.

"Los clientes que aún necesitan asistencia deben comunicarse con el soporte de Pulse Secure utilizando la información de contacto en la siguiente URL: https://support.pulsesecure.net/support/support-contacts/"

Gordon dijo que estos esfuerzos han sido fructíferos, ya que la mayoría de los clientes de la compañía habían aplicado el parche con éxito a fines de agosto.

Sin embargo, no todos los clientes han prestado atención a los consejos de la compañía, y estas organizaciones podrían terminar pagando un precio más alto más adelante.

Las APT chinas (grupos de amenazas avanzadas) no solo penetran en objetivos extranjeros (empresas, organizaciones gubernamentales, universidades) con el propósito de recopilar información o espionaje cibernético político. También roban la propiedad intelectual, que muchas veces llega a manos de los comeptitores chinos, perjudicando a las compañías pirateadas durante años en formas que muchos no esperaban.


Fuente: https://www.zdnet.com/
No olvides Compartir... 


Siguenos en twitter: @disoftin