Tanto la Agencia de Seguridad Nacional de los Estados Unidos (NSA) como la agencia GQHC en el Reino Unido han publicado alertas sobre múltiples vulnerabilidades en las aplicaciones VPN (Virtual Private Network) Palo Alto Security, FortiGuard Security, y Pulse Secure Security.
Las VPNs son una forma muy utilizada por los usuarios
para navegar por la web de forma anónima, o para acceder a sitios web o contenidos
que normalmente estarían bloqueados en ciertos países. Tanto China como Rusia,
por ejemplo, bloquean sistemáticamente el acceso a los servicios VPN.
“Un atacante remoto podría explotar estas
vulnerabilidades para tomar el control de un sistema afectado”, advirtió la
NSA, antes de recomendar a los administradores revisar los avisos de seguridad
publicados por Palo Alto, Fortinet y Pulse Secure, y aplicar las
actualizaciones necesarias. Los tres productos han sido parcheados por los
vendedores.
Por su parte, la agencia británica GCHQ escribe: “Esta
actividad está en curso, y está dirigida tanto a organizaciones británicas como
internacionales. Los sectores afectados incluyen el gobierno, el ejército, el
mundo académico, los negocios y la salud. Estas vulnerabilidades están bien
documentadas en código abierto”.
Según GCHQ, “existen vulnerabilidades en varios productos
SSL VPN que permiten a un atacante recuperar archivos arbitrarios, incluidos
aquellos que contienen credenciales de autenticación. Un atacante puede
utilizar estas credenciales robadas para conectarse a la VPN y cambiar la
configuración, o conectarse a otra infraestructura interna. La conexión no
autorizada a una VPN también podría proporcionar al atacante los privilegios
necesarios para ejecutar exploits secundarios destinados a acceder a un
directorio de root”.
David Grout, Director Técnico de EMEA en FireEye, subrayó
la necesidad de instalar los parches lo antes posible, ya que las
vulnerabilidades ya están muy explotadas en el campo y los exploits están
disponibles para su descarga. “Las vulnerabilidades se presentaron por primera
vez en BlackHat en agosto de este año y hemos observado múltiples campañas que
las han explotado en las últimas semanas. Los atacantes pueden utilizar las
vulnerabilidades para obtener acceso a las cuentas del gateway VPN, lo que
significa que pueden cambiarlas o acceder a las redes de la víctima”, dijo
Grout, añadiendo que “de momento, las organizaciones deberían revisar todos sus
registros y buscar actividades anormales en sus dispositivos. Si es posible,
deberían restablecer la autenticación en todos los dispositivos afectados y
recomiendo encarecidamente a los clientes que utilicen estas VPN que
implementen la autenticación multifactorial para limitar los ataques de
reutilización de contraseñas”.
Las notificaciones y parches están disponibles en los
siguientes enlaces:
— Palo Alto Networks.
— Fortiguard Labs.
— Pulse Secure.
https://diarioti.com/agencias-de-inteligencia-advierten-sobre-brechas-en-productos-vpn-de-pulse-secure-fortinet-y-palo-alto/110989