Agencias de Inteligencia advierten sobre brechas en productos VPN de Pulse Secure, Fortinet y Palo Alto

Tanto la Agencia de Seguridad Nacional de los Estados Unidos (NSA) como la agencia GQHC en el Reino Unido han publicado alertas sobre múltiples vulnerabilidades en las aplicaciones VPN (Virtual Private Network) Palo Alto Security, FortiGuard Security, y Pulse Secure Security.

Las VPNs son una forma muy utilizada por los usuarios para navegar por la web de forma anónima, o para acceder a sitios web o contenidos que normalmente estarían bloqueados en ciertos países. Tanto China como Rusia, por ejemplo, bloquean sistemáticamente el acceso a los servicios VPN.

“Un atacante remoto podría explotar estas vulnerabilidades para tomar el control de un sistema afectado”, advirtió la NSA, antes de recomendar a los administradores revisar los avisos de seguridad publicados por Palo Alto, Fortinet y Pulse Secure, y aplicar las actualizaciones necesarias. Los tres productos han sido parcheados por los vendedores.

Por su parte, la agencia británica GCHQ escribe: “Esta actividad está en curso, y está dirigida tanto a organizaciones británicas como internacionales. Los sectores afectados incluyen el gobierno, el ejército, el mundo académico, los negocios y la salud. Estas vulnerabilidades están bien documentadas en código abierto”.

Según GCHQ, “existen vulnerabilidades en varios productos SSL VPN que permiten a un atacante recuperar archivos arbitrarios, incluidos aquellos que contienen credenciales de autenticación. Un atacante puede utilizar estas credenciales robadas para conectarse a la VPN y cambiar la configuración, o conectarse a otra infraestructura interna. La conexión no autorizada a una VPN también podría proporcionar al atacante los privilegios necesarios para ejecutar exploits secundarios destinados a acceder a un directorio de root”.

David Grout, Director Técnico de EMEA en FireEye, subrayó la necesidad de instalar los parches lo antes posible, ya que las vulnerabilidades ya están muy explotadas en el campo y los exploits están disponibles para su descarga. “Las vulnerabilidades se presentaron por primera vez en BlackHat en agosto de este año y hemos observado múltiples campañas que las han explotado en las últimas semanas. Los atacantes pueden utilizar las vulnerabilidades para obtener acceso a las cuentas del gateway VPN, lo que significa que pueden cambiarlas o acceder a las redes de la víctima”, dijo Grout, añadiendo que “de momento, las organizaciones deberían revisar todos sus registros y buscar actividades anormales en sus dispositivos. Si es posible, deberían restablecer la autenticación en todos los dispositivos afectados y recomiendo encarecidamente a los clientes que utilicen estas VPN que implementen la autenticación multifactorial para limitar los ataques de reutilización de contraseñas”.

Las notificaciones y parches están disponibles en los siguientes enlaces:

Palo Alto Networks.

Fortiguard Labs.

Pulse Secure.

Ilustración (c) iQoncept vía Shutterstock


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022