La Agencia de Infraestructura y Ciberseguridad de EE. UU. se infiltra con frecuencia en las redes de organizaciones críticas, con permiso, por supuesto, para simular ciberataques del mundo real y ayudar a mejorar la seguridad. En un ejercicio reciente realizado en un proveedor de infraestructura crítica, una agencia gubernamental aprovechó un shell web que quedó de un programa de recompensas por errores anterior para recopilar grandes cantidades de credenciales y claves de seguridad y moverlas a través de la red y, finalmente, adquirió el dominio de la organización y algunos. llaves de seguridad. Dirigirse a sistemas empresariales sensibles.
La agencia (CISA) detalló el ejercicio en una publicación de blog el jueves, diciendo que “revela lecciones aprendidas sobre cómo los defensores de redes y los fabricantes de software pueden responder y mitigar el riesgo”. En otras palabras, lea este libro para aprender de los errores y éxitos de esta organización de infraestructura crítica para mantener a los verdaderos delincuentes fuera de su entorno de TI.
Según se informa, el Equipo Rojo de CISA llevó a cabo la operación durante tres meses. Procedieron a ciegas, sin conocimiento previo de los activos tecnológicos de la organización.
CISA apuntó a 13 empleados en una campaña de phishing después de realizar una investigación de código abierto sobre los objetivos para aprender más sobre su red, herramientas de defensa y empleados. Todos fueron seleccionados como empleados con mayor probabilidad de comunicarse con personas fuera de la organización.
Uno de los empleados respondió y finalmente ejecutó dos cargas maliciosas, pero el malware no eludió los controles de seguridad.
El Equipo Rojo de CISA continuó investigando los dispositivos y servicios expuestos en las entrevistas utilizando herramientas disponibles públicamente como Shodan y Censys.
Viejos errores sin parchear para ganar… y acceso temprano
Al final, los cazadores descubrieron un “servicio antiguo y sin parches con una vulnerabilidad conocida de entidad externa XML (XXE)”. El equipo aprovechó este error utilizando una prueba de concepto públicamente conocida e implementó un shell web antes de descubrir uno que ya estaba instalado en los servidores web Linux de la organización objetivo.
El equipo rojo configuró el comando y control (C2) usando el shell para ejecutar comandos en el servidor y buscando el servidor proxy interno expuesto.
Después de aumentar sus privilegios, los agentes de CISA descubrieron que los controles de acceso demasiado permisivos les permitían ejecutar comandos como root sin contraseña.
“El acceso raíz al servidor web ahora le brinda al equipo acceso completo a los directorios y archivos de la organización en recursos compartidos NFS con no_root_squash habilitado”. Esto permite a los usuarios remotos acceder a cualquier archivo que ahora se puede leer y modificar.
El NFS comparte directorios personales alojados que pertenecen a “varios cientos de usuarios de Linux”. Muchos de ellos tenían acceso privilegiado a más servidores.
Con los recursos compartidos de NFS expuestos al público, el equipo de CISA pudo robar archivos de certificados privados, claves privadas de shell seguro (SSH), contraseñas, historial de comandos bash y otra información confidencial.
“El equipo obtuvo inicialmente un archivo que contenía 61 claves SSH privadas y credenciales de dominio de texto plano válidas (DOMAINUSER1) utilizadas para autenticarse en el dominio de la organización”, dice el informe.
Una semana después de infiltrarse inicialmente en la organización, los atacantes del Equipo Rojo establecieron acceso persistente a cuatro servidores Linux, cada uno usando un mecanismo de persistencia diferente que dificultó que los defensores de la red descubrieran a los intrusos.
El equipo también obtuvo acceso raíz a un servidor de administración de infraestructura que ejecuta Ansible Tower y que CISA describe como “adyacente” a “sistemas comerciales sensibles”. A partir de ahí, los atacantes domesticados pasaron a seis sistemas más similares en seis rangos de IP.
El comportamiento extraño de la clave privada raíz SSH (utilizada para iniciar sesión en múltiples hosts y durante un tiempo y período que excede el uso básico) alertó a la organización objetivo sobre el hecho de que había sido pirateada, señaló CISA.
“En caso de una infracción real, las organizaciones habrían tenido que cerrar sus servidores, lo que habría afectado gravemente las operaciones comerciales”, advirtió.
El Equipo Rojo también comprometió los controladores de dominio de Windows y robó credenciales, lo que les permitió moverse lateralmente a todos los hosts de Windows conectados a los dominios de la organización.
Después de comprometer los sistemas Linux y Windows y establecer un acceso persistente a través de la red de la instalación crítica, los atacantes de CISA obtuvieron acceso a sistemas comerciales más sensibles, incluidas estaciones de trabajo administrativas, y comenzaron a trabajar en actividades posteriores a la explotación.
“El Equipo Rojo mantuvo el acceso a estos sistemas durante varias semanas”, decía el blog.
A continuación, se atacaron las estaciones de trabajo corporativas propiedad de los administradores y operadores de infraestructura crítica de la organización víctima. Sin embargo, debido a limitaciones de tiempo, el equipo no pudo comprometer completamente estos sistemas.
lecciones aprendidas
La buena noticia es que “no se encontraron métodos que comprometan los dispositivos OT (de tecnología operativa) subyacentes”, señaló CISA.
En un extenso artículo sobre el ejercicio, CISA detalló cómo el Equipo Rojo evadió la detección en cada etapa del ataque. También sugiere qué podrían haber hecho los defensores de la red para expulsar al intruso e incluye una sección completa sobre cómo mitigar los hallazgos tanto para los defensores como para los fabricantes de software. Le recomendamos encarecidamente que lea detenidamente todo el análisis.
Sin embargo, aquí hay algunas lecciones importantes aprendidas de este ejercicio.
En primer lugar, la organización objetivo no contaba con controles técnicos adecuados para detectar y frustrar al intruso. “Las organizaciones dependían demasiado de las soluciones de respuesta y detección de puntos finales (EDR) basadas en host y no implementaron suficientes protecciones de capa de red”, señaló CISA.
En segundo lugar, el personal de la organización víctima, y de hecho cualquier personal, requiere capacitación y soporte continuos para configurar adecuadamente el software y detectar actividad maliciosa en la red.
Y los líderes deben priorizar los vectores de ataque conocidos que ponen al negocio de la organización en riesgo de sufrir un ataque. “El liderazgo deja de priorizar el abordaje de las vulnerabilidades identificadas por sus equipos de ciberseguridad y sopesa la probabilidad y el impacto potencial de la explotación de esas vulnerabilidades en la toma de decisiones basadas en riesgos”, dice el informe. “Lo había calculado incorrectamente”, dijo. ®
https://packetstormsecurity.com/news/view/36631/Heres-What-Happens-If-You-Dont-Layer-Network-Security-Or-Remove-Unused-Web-Shells.html
