Alertamos que, en la región latinoamericana y también en Paraguay se han reportado múltiples ataques contra sistemas informáticos, especialmente de ransomware, en los que los criminales explotan vulnerabilidades conocidas en dispositivos y software ampliamente utilizados.
El CERT-PY ha emitido múltiples Boletines y Alertas de Seguridad basados en los incidentes reportados y observados en nuestro país últimamente; que constituyen un alto riesgo, teniendo en cuenta la explotación masiva de las mismas, por parte de diversas bandas criminales. A pesar de ser vulnerabilidades conocidas y sobre las cuales se ha alertado, hemos visto que muchas organizaciones no han aplicado las medidas de mitigación. De no tomarse acción por parte de los administradores o responsables, pueden derivar en la filtración de información, compromiso de los sistemas informáticos hasta infección de malware (ransomware).
Directivas de Protección contra el Ransomware
Recordamos a las Instituciones de Gobierno la obligatoriedad de implementar las Directivas de Protección contra el Ransomware, comunicadas mediante Circular MITIC Nº 1/2021 a los Responsables de Seguridad de la Información RSI y Directores TIC de Organismos y Entidades de Gobierno OEE, y reiteradas en varias ocasiones
Las directivas, aunque no son obligatorias para el sector privado, son igualmente aplicables para empresas u organizaciones privadas..
Los principales vectores de ataque observado en la gran mayoría de ataques recientes son los siguientes:
- Vulnerabilidades de Microsoft Exchange
En los últimos meses y año, se han publicado una serie de vulnerabilidades críticas algunas de mucha relevancia como ProxyLogon, ProxyShell y últimamente ProxyNotShell, las cuales permiten la ejecución remota de código, permitiendo a un atacante el control total del servidor, la exfiltración de toda la información y el compromiso de cuentas de otras plataformas vinculadas a cuentas de correo. Se debe tener en cuenta que en el caso de ProxyNotShell, la medida de mitigación (una regla de reescritura) fue actualizada múltiples veces debido a que se encontró maneras de evadirla, por lo que, aun habiendo aplicada, recomendamos verificar que se haya aplicado la última regla recomendada.
- Boletín Nº 2022-38. Fecha de publicación y actualización 30/09/2022 – 12/10/2022
Vulnerabilidades de día cero en Microsoft Exchange Server
CVE-2022-41040, CVE-2022-41082 https://www.cert.gov.py/wp-content/uploads/2022/10/BOL-CERT-PY-2022-38-Vulnerabilidades-de-dia-cero-en-Microsoft-Exchange-Server.pdf
- Vulnerabilidades de Fortinet:
En varios incidentes de ransomware se determinó que el vector de ataque inicial fue la explotación de vulnerabilidades en el firmware de equipos de borde de la marca Fortinet, desactualizados. Se trata de vulnerabilidades de ejecución remota de código mediante las cuales un atacante no autenticado puede ejecutar comandos con privilegio administrativo. Esto le sirve de pivot para comprometer otros equipos de la red, mediante técnicas de movimiento lateral (especialmente reutilización de contraseñas y pass-the-hash).
- Boletín Nº 2022-41. Fecha de publicación: 11/10/2022
Vulnerabilidad de omisión de autenticación en FortiGate y FortiProxy CVE-2022-40684
- Boletín Nº 2022-14. Fecha de publicación : 03/03/2022
Múltiples vulnerabilidades en productos Fortinet
CVE-2021-36166, CVE-2021-32586, CVE-2021-43077 https://www.cert.gov.py/wp-content/uploads/2022/03/BOL-CERT-PY-2022-14_Multiples_vulnerabilidades_en_productos_de_Fortinet.pdf
- RDP con contraseñas débiles
En múltiples casos de ransomware se ha explotado el servicio de Escritorio Remoto (RDP) expuesto a Internet, con claves débiles, fáciles de adivinar, o con el servicio desactualizado y con vulnerabilidades. En algunos casos, el usuario que se utiliza para la conexión es un usuario local con contraseña débil, pero en otros casos, son usuarios de dominio que han quedado almacenados en el sistema operativo debido a conexiones que se han realizado en el pasado (“caching” de credenciales).
- Boletín Nº 2022-04. Fecha de publicación: 17/01/2022
Vulnerabilidad de ejecución remota de código (RCE) en el protocolo RDP (Remote Desktop Protocol)
CVE-2022-21893
- Vulnerabilidades en Servidores de Correo Zimbra:
En los últimos meses se han publicado varias vulnerabilidades críticas, algunas de las cuales permiten la ejecución remota de código y escalación de privilegios, permitiendo a un atacante el control total del servidor, la exfiltración de toda la información y el compromiso de cuentas de otras plataformas vinculadas a cuentas de correo. En la gran mayoría de los casos, se observa que los criminales suben webshells mediante las cuales pueden interactuar con la consola, ejecutar comandos, subir archivos, abrir conexiones reversas, etc. Estas vulnerabilidades son explotadas mediante el envío de un correo con un adjunto especialmente construido, con payload variable (por lo general, correspondiente a la descarga de una webshell). El correo electrónico puede ser enviado a cualquier cuenta; no es necesario que el usuario lo abra, ya que se trata de vulnerabilidades relacionadas a las librerías o paquetes que procesan el archivo al momento de la recepción.
Algunas de estas vulnerabilidades se corrigen mediante la actualización de Zimbra, otras mediante medidas de mitigación adicionales.
- Boletín Nº 2022-40. Fecha de publicación y actualización 07/10/2022 – 18/10/2022
Explotación masiva de vulnerabilidad RCE 0-day en Zimbra
CVE-2022-41352
- Boletín Nº 2022-35. Fecha de publicación: 12/08/2022
Vulnerabilidad RCE explotada masivamente en Zimbra
CVE-2022-27925
- Boletín Nº 2022-29. Fecha de publicación 29/06/2022
Vulnerabilidad de UnRar Path Traversal afecta a Zimbra Mail
CVE-2022-30333
- Boletín Nº 2022-26. Fecha de publicación: 16/06/2022
Vulnerabilidad crítica en Zimbra
CVE-2022-27924
Otros Recursos de Interés
- Además de los Boletines emitidos por el CERT-PY, hemos elaborado una serie de guías de seguridad para apoyar a los administradores de TI, las cuales pueden ser encontradas aquí:
- Suscribirse al servicio de alertas y boletines del CERT-PY
- Servicio de reportes proactivos de ciberseguridad, disponible para OEE’s
- La Agencia de Seguridad para Infraestructuras y Ciberseguridad (CISA) de EEUU mantiene una lista de las vulnerabilidades más activamente explotadas por los atacantes
- CISA ha elaborado guías específicas para atender casos de ransomware
Servicio de Atención de Incidentes Cibernéticos
El CERT-PY cuenta con el servicio de Reporte de Incidentes Cibernéticos, cuya misión principal es coordinar, colaborar y asistir a los ciudadanos y organizaciones afectadas por algún incidente cibernético dentro del territorio paraguayo, realizando el análisis preliminar incidente cibernético, la aplicación de acciones de contención inmediatas, la investigación y la propuesta de recomendaciones pertinentes para la corrección y prevención futura. Los procedimientos de gestión de incidentes cibernéticos se encuentran alineados a los estándares internacionales y han sido establecidos con el objetivo de optimizar los tiempos de respuesta y resolución de incidentes cibernéticos, de una manera oportuna y eficaz.
Todo incidente cibernético de seguridad puede ser reportado al CERT-PY sin importar del sector que provenga (público, privado, financiero, tecnológico, educativo, etc), siendo obligatorio para instituciones de gobierno (OEE), enviando un correo electrónico a abuse@cert.gov.py según Resolución MITIC Nº 346/2022, incluyendo una descripción del mismo, así como también cualquier dato que pueda ayudar a investigar el incidente, según sea el caso (logs, captura de pantalla, explicaciones, captura de tráficos, archivos, etc.).
¡IMPORTANTE!
Tanto el MITIC como el CERT-PY guardarán confidencialidad respecto a los detalles de los incidentes cibernéticos que le hayan sido reportados, velando por los derechos de todas las personas o instituciones que fueran afectados por el incidente.
Referencias y recursos adicionales:
- Boletín Nº 2022-39. Fecha de publicación: 11/10/2022
Explotación masiva de múltiples vulnerabilidades en servidores de correo.