Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Superficies de ataque

Zero-Day Ataques a dispositivos de borde de red: Por qué son importantes los NDR

28 de noviembre de 2024
Lucie Cardiet
Responsable de marketing de productos
Zero-Day Ataques a dispositivos de borde de red: Por qué son importantes los NDR

Las vulnerabilidades Zero-day en los dispositivos de borde de red se están convirtiendo rápidamente en uno de los medios de entrada más explotados en las redes de las organizaciones. Un reciente informe de las agencias de ciberseguridad de la alianza Five Eyes (Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda) pone de relieve esta alarmante tendencia, que marca un cambio con respecto a años anteriores. Por primera vez, la mayoría de las 15 vulnerabilidades más explotadas lo fueron inicialmente como zero-days, incluyendo fallos críticos en Citrix NetScaler, VPNs de Fortinet y routers de Cisco. Los informes revelaron que los adversarios, entre los que se sospechaba que se encontraban Estados-nación, utilizaron estas vulnerabilidades para comprometer miles de dispositivos, obteniendo acceso persistente e instalando webshells para un control a largo plazo.

Este aumento subraya una preocupante "nueva normalidad", en la que los atacantes dan prioridad a la explotación de vulnerabilidades zero-day recientemente reveladas para infiltrarse en las redes.

La implantación de soluciones de detección y respuesta de red (NDR ) es esencial para detectar actividades posteriores a la vulneración y mitigar los riesgos asociados a estos sofisticados ataques.

La escalada de las amenazas

Los atacantes se centran cada vez más en los dispositivos de borde de red como puntos de entrada a las redes de las organizaciones. Estos dispositivos son objetivos atractivos porque a menudo se encuentran en el límite entre las redes de confianza y las que no lo son, y comprometerlos puede otorgar a los atacantes un punto de apoyo dentro de la red.

Los siguientes ejemplos ponen de relieve la creciente tendencia de los exploits zero-day cero dirigidos a estos sistemas críticos:

  • Zero-Days Palo Alto: permite la ejecución remota de código sin autenticación, dando a los atacantes control total sobre el cortafuegos sin autenticación previa.
  • Infracciones en Ivanti (Pulse Secure): Las vulnerabilidades de elusión de autenticación permitieron a los atacantes infiltrarse en las redes sin ser detectados.
  • Exploits de Citrix ADC: Las vulnerabilidades de ejecución remota de código provocaron importantes brechas en entornos empresariales.
  • Zero-Days SonicWall: Vulnerabilidades sin parchear fueron explotadas para comprometer dispositivos seguros de acceso remoto.
  • Vulnerabilidades de Fortinet: Se aprovecharon fallos críticos zero-day para obtener el control de los sistemas de cortafuegos de Fortinet, socavando las defensas de la red.
  • Vulnerabilidad de F5 BIG-IP: Vulnerabilidad crítica de ejecución remota de código explotada para obtener control administrativo sobre los dispositivos, lo que lleva a un potencial compromiso total de la red.
Cronología de las principales vulnerabilidades y revelaciones de los últimos años.
Cronología de las principales vulnerabilidades y revelaciones de los últimos años.

Estos casos demuestran que incluso los dispositivos de seguridad de confianza pueden convertirse en pasivos. Cuando los atacantes vulneran estos sistemas, pueden manipular o desactivar las funciones de seguridad, haciendo ineficaces los controles tradicionales.

Las limitaciones de los dispositivos de borde comprometidos

Las herramientas de seguridad tradicionales a menudo no pueden detectar actividades maliciosas originadas en dispositivos de confianza, como los cortafuegos. Dado que estos dispositivos se consideran seguros por defecto, los comportamientos anómalos pueden pasar desapercibidos. Una vez comprometidos, estos dispositivos pueden utilizarse impunemente para pivotar por toda la organización, convirtiéndose en poderosas herramientas para que los atacantes escalen sus actividades.

Cuando un dispositivo de borde de red, como un cortafuegos, se ve comprometido, socava la base misma de la seguridad de la red. Los agresores pueden manipular o desactivar funciones de seguridad, alterar configuraciones y acceder a datos confidenciales almacenados en el dispositivo. Por ejemplo, después de explotar CVE-2024-3400, los atacantes fueron capaces de:

  • Volcar configuraciones de cortafuegos: Obtención de información sobre la arquitectura de red, los rangos de direcciones IP y los mecanismos de autenticación.
  • Recoger credenciales: Los cortafuegos y los servicios de acceso remoto a menudo contienen credenciales privilegiadas para el dominio y otros servicios de la organización. Estas credenciales se pueden extraer y utilizar para la escalada de privilegios, dando a los atacantes un acceso más profundo a los sistemas críticos.
  • Desactivar el registro y las alertas: Evitar la detección suprimiendo las notificaciones de seguridad.
Si desea obtener más información sobre los aspectos técnicos de la vulnerabilidad CVE-2024-3400, su impacto en varias versiones de PAN-OS y la urgencia de los esfuerzos de aplicación de parches en curso, vea nuestro Informe sobre amenazas.

Actividades posteriores al compromiso: qué ocurre después

Una vez dentro de la red, los atacantes suelen llevar a cabo varias actividades posteriores al ataque:

1. Reconocimiento

Los atacantes mapean la red interna para identificar activos valiosos y sistemas críticos. Analizan la arquitectura de la red, identifican las estructuras de Active Directory y localizan servidores o bases de datos con información de gran valor.

Ejemplo: En el ataque de SolarWinds, los atacantes utilizaron el reconocimiento para mapear los entornos de Active Directory de las organizaciones afectadas, identificando las cuentas privilegiadas y los recursos sensibles a los que dirigirse.

2. Recogida de credenciales

Los atacantes extraen credenciales para escalar privilegios y obtener un acceso más profundo a la red. Esto suele implicar la captura de contraseñas almacenadas, el uso de herramientas de volcado de credenciales o el robo de credenciales de configuraciones de sistemas comprometidos.

Ejemplo: Midnight Blizzard, un sofisticado grupo de amenazas, utilizó phishing y malware para robar credenciales de alto privilegio, lo que les permitió acceder a sistemas de correo electrónico sensibles y entornos cloud .

3. 3. Movimiento lateral

Los atacantes utilizan protocolos como SMB, RDP y WinRM para desplazarse entre sistemas, escalando su posición dentro de la organización. Aprovechan las relaciones de confianza y los controles de acceso débiles para propagarse a objetivos de alto valor.

Ejemplo: Durante el ataque del ransomware WannaCry, los atacantes aprovecharon la vulnerabilidad EternalBlue en SMB para propagarse lateralmente por las redes, infectando numerosos endpoints.

4. Exfiltración de datos

Los atacantes recopilan y transfieren datos sensibles fuera de la red, a menudo cifrándolos o enviándolos a servidores externos bajo su control. Los datos robados pueden utilizarse para extorsionar, venderse en la dark web o aprovecharse para nuevos ataques.

Ejemplo: El grupo de ransomware Clop explotó la vulnerabilidad MOVEit Transfer para robar datos confidenciales de cientos de organizaciones, utilizándolos posteriormente para extorsionar a las víctimas con amenazas de exposición pública.

5. Establecer la persistencia

Los atacantes crean puertas traseras para mantener el acceso continuo a la red comprometida, asegurándose de que pueden volver incluso después de los esfuerzos de remediación. Esta persistencia puede incluir webshells, implantes de malware o cuentas manipuladas.

Ejemplo: En 2023, los actores de amenazas explotaron unavulnerabilidad zero-day en los dispositivos Citrix NetScaler ADC (CVE-2023-3519) para implantar webshells. Estas webshells proporcionaban acceso persistente, lo que permitía a los agresores realizar descubrimientos en el Active Directory de la víctima y recopilar y extraer datos.

En el caso de un exploit de cortafuegos, los atacantes aprovechan el dispositivo comprometido para iniciar conexiones a múltiples sistemas internos, apuntando a controladores de dominio, claves de protección de datos de respaldo y estaciones de trabajo de usuarios.

El imperativo de la Detección y Respuesta en Red (NDR)

Teniendo en cuenta estos sofisticados ataques, confiar únicamente en las medidas de seguridad tradicionales es insuficiente. Las organizaciones necesitan un medio independiente y completo para detectar actividades maliciosas que eludan o se originen en dispositivos comprometidos. Aquí es donde la Detección y Respuesta en Red (NDR) se vuelve crucial.

Por qué es esencial el NDR

  • Detección independiente de amenazas: NDR funciona de forma independiente de la seguridad de los endpoints y los dispositivos comprometidos, lo que garantiza una visibilidad continua.
  • Análisis de comportamiento: Mediante el análisis de los patrones de tráfico de la red, NDR puede identificar anomalías indicativas de reconocimiento, movimiento lateral y otras actividades maliciosas.
  • Detección rápida: Las soluciones NDR como Vectra AI utilizan modelos avanzados de aprendizaje automático para detectar amenazas en tiempo real, minimizando la ventana de oportunidad para los atacantes.
  • Cobertura completa: NDR supervisa todo el tráfico de la red, incluidas las comunicaciones este-oeste (internas) que suelen aprovecharse durante los movimientos laterales.

Cómo detecta Vectra AI las actividades posteriores a la infracción

La plataformaVectra AI está específicamente diseñada para identificar, investigar y responder a amenazas que han eludido o se han originado en infraestructuras de seguridad comprometidas. Vectra AIAttack Signal Intelligence aprovecha la inteligencia artificial (IA) avanzada y el aprendizaje automático (ML) para analizar el tráfico de red en tiempo real y detectar señales sutiles de comportamiento malicioso.

Nuestra Attack Signal Intelligence detecta:

  • Comportamiento administrativo sospechoso: Detecta el uso inusual de protocolos administrativos como WinRM, SSH y RDP. Si un dispositivo como un cortafuegos inicia repentinamente conexiones mediante estos protocolos a sistemas internos -un comportamiento no observado anteriormente-,ectraVectra AI lo marca como sospechoso.
  • Ejecución remota sospechosa: Supervisa las actividades de ejecución remota mediante herramientas como PowerShell Remoting y PsExec. Las anomalías en el uso de estas herramientas desde fuentes inesperadas son indicativas de movimiento lateral.
  • Análisis de acceso a privilegios: Analiza los patrones de autenticación Kerberos para detectar accesos anómalos a servicios y hosts. Si un dispositivo comprometido comienza a acceder a servicios o hosts con los que no había interactuado antes, especialmente aquellos que requieren privilegios elevados, Vectra AI lo identifica como una amenaza potencial.

Un ejemplo: detectar un exploit de cortafuegos

En el escenario en el que los atacantes explotan una vulnerabilidad del cortafuegos:

  • Detección de tráfico anómalo: Vectra AI detectaría si el cortafuegos inicia conexiones inusuales a sistemas internos utilizando protocolos administrativos.
  • Identificación de abuso de credenciales: El uso de credenciales recolectadas para acceder a servicios críticos activaría alertas basadas en desviaciones de los patrones normales de autenticación.
  • Triaje basado en IA: Vectra AI AI-driven triage clasifica automáticamente las amenazas detectadas, reduciendo el ruido y destacando los incidentes más críticos para una respuesta inmediata, lo que permite una investigación más rápida y eficaz.
  • Priorización basada en IA: La priorización de Vectra AI garantiza que estas amenazas críticas se pongan en conocimiento inmediato de los equipos de seguridad para que actúen con rapidez. Vea nuestra infografía sobre cómo los atacantes híbridos van más allá del endpoint.

Más allá de la detección: la importancia de una respuesta rápida

La detección es sólo el primer paso. Una respuesta rápida es crucial para contener las amenazas y minimizar los daños.

Capacidad de respuesta de Vectra AI

  • Acciones automatizadas: Vectra AI puede desactivar automáticamente las cuentas de usuario comprometidas o aislar los hosts afectados, limitando la capacidad del atacante para moverse lateralmente.
  • Integración con el ecosistema de seguridad: Funciona a la perfección con las herramientas de seguridad existentes, como cortafuegos y plataformas de protección de endpoints, para aplicar las políticas de seguridad.
  • Información práctica: Proporciona contexto detallado y recomendaciones para ayudar a los equipos de seguridad en los esfuerzos de investigación y corrección.

Los ataques Zero-day cero dirigidos a dispositivos de borde de red representan una amenaza significativa y en evolución. Una vez que los atacantes comprometen estos dispositivos, pueden navegar dentro de la red sin ser detectados, haciendo que las medidas de seguridad tradicionales sean ineficaces. A veces las medidas proactivas no son suficientes, por lo que la implementación de una solución NDR como Vectra AI es esencial para:

  • Detección de actividades posteriores a la infracción: Identificar comportamientos maliciosos que ocurren después de la brecha inicial.
  • Mantener la visibilidad de la seguridad: Garantizar la supervisión continua incluso cuando las defensas primarias están comprometidas.
  • Permitir una respuesta rápida: Facilitar una acción rápida para contener y remediar las amenazas. Adelántese a las amenazas más allá de los límites. Solicite una demostración hoy mismo para descubrir cómo puede detectar y responder a los ataques, incluso cuando sus defensas primarias están en peligro.

Adelántese a las amenazas más allá de los límites. Solicite una demostración hoy mismo para descubrir cómo puede detectar y responder a los ataques, incluso cuando sus defensas primarias estén en peligro.

Preguntas frecuentes