En los últimos años, las vulnerabilidades de VPN han surgido como un vector de amenaza crítico para las organizaciones de todo el mundo.
Los actores amenazantes, están explotando cada vez más estas vulnerabilidades para obtener acceso no autorizado a redes sensibles.
Dos vulnerabilidades notables, CVE-2018-13379 y CVE-2022-40684, se han convertido en elementos básicos en el manual de estrategias del atacante, lo que permite el robo de credenciales a gran escala y el control administrativo sobre la infraestructura VPN.
Tácticas de explotación e impacto
CVE-2018-13379, una vulnerabilidad de recorrido de ruta en los dispositivos VPN SSL FortiGate de Fortinet, sigue siendo una de las favoritas entre los atacantes debido a su simplicidad y eficacia.
Esta vulnerabilidad permite el acceso directo y no autenticado a archivos confidenciales del sistema, incluidas credenciales de VPN en texto sin formato.
A pesar de tener casi cinco años, sigue siendo explotado, a menudo mediante exploits automatizados de prueba de concepto (PoC) que agilizan el robo de credenciales a gran escala.
Según Relia Quest Report , esta vulnerabilidad ha sido utilizada por grupos patrocinados por estados como APT28 y MuddyWater para espionaje a largo plazo, mientras que los ciberdelincuentes se centran en monetizar credenciales robadas a través de ransomware o ventas en la web oscura.
CVE-2022-40684, una vulnerabilidad de omisión de autenticación en dispositivos Fortinet FortiOS, FortiProxy y FortiManager, ofrece a los atacantes acceso de nivel de administrador sin requerir credenciales válidas.
Este nivel de control permite a los actores de amenazas manipular las configuraciones de los dispositivos, extraer datos confidenciales e implementar políticas maliciosas para lograr un dominio sostenido de la red.
Belsen_Group, un actor de amenazas, explotó esta vulnerabilidad en una vulneración que afectó a más de 15.000 dispositivos FortiGate en todo el mundo, lo que pone de relieve la escala y la persistencia de este tipo de ataques.
El papel de la IA y la automatización
El auge de la inteligencia artificial y la automatización está amplificando la escala y la sofisticación de los ataques VPN .
Las herramientas impulsadas por IA pueden automatizar campañas de phishing y ataques de fuerza bruta para la recolección de credenciales, mientras que los modelos de lenguaje grandes (LLM) analizan los volcados de credenciales para identificar objetivos de alto valor casi instantáneamente.
Se espera que este avance tecnológico agilice los ataques basados en credenciales y en el nivel de infraestructura, obligando a las organizaciones a adoptar defensas impulsadas por IA y automatizar los procesos de detección.
Para contrarrestar estas amenazas, las organizaciones deben priorizar la solución de vulnerabilidades, la aplicación de autenticación multifactor (MFA) y la segmentación de sistemas críticos para limitar el movimiento lateral.
Además, implementar una autenticación secundaria fuera de banda y realizar auditorías de configuración periódicas pueden ayudar a prevenir el robo de credenciales y una mayor explotación.
A medida que la infraestructura VPN se convierte en un punto focal para las operaciones cibernéticas híbridas, las medidas proactivas son cruciales para protegerse contra estas amenazas en evolución.
Fuente y redacción: gbhackers.com
