EE. UU., Reino Unido y Australia advierten contra los piratas informáticos iraníes que abusan de Microsoft, Fortinet Flaws

Las agencias de seguridad cibernética en Australia, el Reino Unido y los Estados Unidos emitieron el miércoles una advertencia conjunta contra la explotación activa de las vulnerabilidades de Fortinet y Microsoft Exchange ProxyShell por parte de actores patrocinados por el estado iraní para obtener acceso inicial a sistemas vulnerables para actividades posteriores, que incluyen filtrado de datos un ransomware.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), se cree que el actor explotó varias vulnerabilidades de Fortinet FortiOS que datan de marzo de 2021, así como una falla de ejecución remota de código. que ha afectado a los servidores de Microsoft Exchange desde al menos octubre de 2021. La Oficina de Investigación (FBI), el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).

Las agencias no atribuyeron las actividades a un actor específico de amenaza de persistencia avanzada (APT). Las víctimas objetivo incluyen organizaciones australianas y una amplia gama de actores en muchos sectores de infraestructura crítica de EE. UU., como el transporte y la atención médica. La lista de deficiencias que se utilizan se proporciona a continuación:

Además de usar el error ProxyShell para obtener acceso a redes vulnerables, la CISA y el FBI informaron que, en mayo de 2021, vieron a un adversario hacer un mal uso de la instalación de Fortigate para obtener soporte en un servidor web que aloja un dominio para el gobierno municipal de EE. UU. El próximo mes, los actores de APT «utilizaron las instalaciones de Fortigate para acceder a las redes de control ambiental vinculadas a un hospital con sede en EE. UU. que se especializa en el cuidado de la salud de los niños», dice la recomendación.

Esta es la segunda vez que el gobierno de EE. UU. destaca grupos avanzados de amenazas persistentes dirigidas a servidores Fortinet FortiOS mediante el uso de CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591 para comprometer sistemas pertenecientes a entidades gubernamentales y comerciales.

Como mitigación, las agencias recomiendan que las organizaciones arreglen de inmediato el software afectado por las vulnerabilidades anteriores, apliquen los procedimientos de copia de seguridad y recuperación de datos, implementen la segmentación de la red, protejan las cuentas de autenticación multifactor y reparen los sistemas operativos, el software y el firmware tan pronto como se actualicen. . son liberados.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática