El FBI y la CISA han emitido un aviso de seguridad crucial acerca de una vulnerabilidad en la autenticación multifactor (MFA) utilizada por varias organizaciones, lo que permite a los piratas informáticos estatales ejecutar ataques de movimientos laterales dentro de las redes. Estos ataques han sido atribuidos a grupos de hackers respaldados por el gobierno ruso que han logrado obtener acceso no autorizado a redes sensibles.
Acceso a la nube de una ONG
Se ha informado que los piratas informáticos han conseguido acceder a la nube de una organización no gubernamental (ONG) luego de inscribir su propio dispositivo en el sistema Duo MFA de la organización, tras explotar protocolos de seguridad de MFA que estaban mal configurados. Este ataque pone de manifiesto la importancia de mantener una configuración segura para las credenciales de acceso.
Cómo ocurrió el ataque
El ingreso a la red fue facilitado mediante el uso de credenciales comprometidas que resultaron de un ataque de fuerza bruta para adivinar contraseñas. Con esta técnica, los hackers lograron obtener acceso a una cuenta inactiva en el Directorio Activo de la organización, la cual no había sido desactivada.
Un aspecto crítico de esta brecha se debe a que las configuraciones predeterminadas de Duo permiten volver a inscribir dispositivos en cuentas que, aunque marca como inactivas, todavía permanecen habilitadas en el sistema Active Directory. Esto les permitió a los atacantes inscribir un nuevo dispositivo, completar los requisitos de autenticación y finalmente obtener acceso a la red de la ONG.
Desactivación del servicio MFA
Una vez que lograron el acceso inicial, el siguiente paso fue eliminar la protección de MFA. Los piratas informáticos redirigieron todas las llamadas de Duo MFA a localhost, afectando la comunicación con el servidor correspondiente. Esto les permitió autenticarse en la red de la ONG como usuarios estándar, y así conectarse a los controladores de dominio de Windows mediante el Protocolo de Escritorio Remoto (RDP) para obtener credenciales adicionales.
Consecuencias del ataque
Sin la capa de protección de MFA, estos actores maliciosos pudieron moverse lateralmente a través de la red y acceder a almacenamiento en la nube y cuentas de correo electrónico, lo que resultó en la filtración de información sensible.
Recomendaciones de seguridad
En respuesta a estos incidentes, el FBI y la CISA han recomendado que todas las organizaciones implementen y revisen las siguientes medidas de seguridad:
- Aplicar autenticación multifactor (MFA) de manera adecuada y revisar las políticas de configuración para prevenir accesos indebidos.
- Deshabilitar cuentas inactivas de forma regular en los sistemas de Active Directory y MFA para evitar que sean susceptibles a este tipo de ataques.
- Corregir vulnerabilidades en todos los sistemas y priorizar los parches para vulnerabilidades que han sido conocidas y explotadas.
La CISA agregó que cada organización debe hacer cumplir la MFA para todos sus empleados y usuarios, y que deben inscribirse a la MFA siempre que esté disponible. También deben llevar a cabo revisiones de su configuración predeterminada para minimizar el riesgo de eludir este control de seguridad.
Ciberseguridad en la agenda estatal
Los grupos de hackers rusos, como APT29 y APT28, continúan siendo una amenaza activa para muchas organizaciones, apuntando incluso a infraestructuras críticas. Estos incidentes resaltan la necesidad urgente de que las organizaciones evalúen y fortalezcan sus medidas de ciberseguridad.
En resumen, el ataque a la ONG y otros incidentes recientes sirven como recordatorio de la importancia de la protección con MFA y la atención necesaria que deben prestar las organizaciones a sus configuraciones de seguridad. Con las técnicas de hacking evolucionando constantemente, es vital que las organizaciones realicen auditorías periódicas y mantengan sus sistemas actualizados para protegerse contra futuras infiltraciones.
