Agencias de seguridad cibernética de Australia, el Reino Unido y los EE.UU. el miércoles lanzaron una advertencia en conjunto por la explotación activa de vulnerabilidades a Fortinet y Microsoft Exchange ProxyShell por actores patrocinadas por el Estado iraní para obtener acceso inicial a los sistemas vulnerables de las actividades de seguimiento, incluyendo la exfiltración de datos y ransomware.
Se cree que el actor de amenazas aprovechó múltiples vulnerabilidades de Fortinet FortiOS que se remontan a marzo de 2021, así como una falla de ejecución remota de código que afecta a los servidores Microsoft Exchange desde al menos octubre de 2021, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Federal Oficina de Investigación (FBI), el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Las víctimas objetivo incluyen organizaciones australianas y una amplia gama de entidades en múltiples sectores de infraestructura crítica de EE. UU., Como el transporte y la atención médica. La lista de fallas que se están explotando se encuentra a continuación:
- CVE-2021-34473 (puntuación CVSS: 9,1): vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (también conocida como «ProxyShell»)
- CVE-2020-12812 (puntaje CVSS: 9.8) – Omisión de FortiOS SSL VPN 2FA al cambiar el caso del nombre de usuario
- CVE-2019-5591 (puntuación CVSS: 6.5): la configuración predeterminada de FortiGateno verifica la identidad del servidor LDAP
- CVE-2018-13379 (puntuación CVSS: 9,8): fuga de archivos del sistema FortiOS a través de SSL VPN a través de solicitudes de recursos HTTP especialmente diseñadas
Además de explotar las fallas de FortiOS para obtener acceso a redes vulnerables, la CISA y el FBI dijeron que observaron al adversario abusando de un dispositivo Fortigate en mayo de 2021 para afianzarse en un servidor web que aloja el dominio de un gobierno municipal de EE. UU. El mes siguiente, los actores de la APT «explotaron un dispositivo Fortigate para acceder a las redes de control ambiental asociadas con un hospital con sede en EE. UU. Especializado en atención médica para niños», dijo el aviso.
Las marcas de desarrollo de la segunda vez que el gobierno de Estados Unidos ha alertado de los grupos de amenazas persistentes avanzadas dirigidas a los servidores de Fortinet Fortios mediante el aprovechamiento de CVE-2.018-13.379, CVE-2.020 a 12.812, y CVE-2.019 hasta 5.591 para los sistemas de compromiso que pertenecen a entidades gubernamentales y comerciales.
Como mitigaciones, las agencias recomiendan a las organizaciones que parchen de inmediato el software afectado por las vulnerabilidades antes mencionadas, hagan cumplir los procedimientos de copia de seguridad y restauración de datos, implementen la segmentación de la red, protejan las cuentas con autenticación multifactor y parcheen los sistemas operativos, el software y el firmware a medida que se realicen actualizaciones. son liberados.
