En abril de 2019, Pulse Secure publicó un aviso sobre una vulnerabilidad en su software. En agosto, los ciberdelincuentes estaban escaneando masivamente en busca de sistemas que ejecutaban una versión vulnerable. Ahora es octubre, y aún muchas organizaciones no han aplicado los parches disponibles para esta vulnerabilidad.
Esta es una tendencia que hemos visto repetida con docenas de otras vulnerabilidades y organizaciones conocidas públicamente que tardan en actualizar el software a las últimas y más seguras versiones.
Con tantas organizaciones que son víctimas del ciberataque a través de la vulnerabilidad explotada, debemos preguntarnos: ¿por qué las personas no están parcheando?
¿Cuáles son las vulnerabilidades?
Al leer lo anterior, puede sospechar que las vulnerabilidades no eran graves o difíciles de explotar. Pero esa no es la impresión que tenemos del aviso Pulse Secure. Afirma:
“Se descubrieron múltiples vulnerabilidades y se resolvieron en Pulse Connect Secure (PCS) y Pulse Policy Secure (PPS). Esto incluye una vulnerabilidad de bypass de autenticación que puede permitir que un usuario no autenticado realice un acceso remoto a archivos arbitrarios en la puerta de enlace Pulse Connect Secure. Este aviso también incluye una vulnerabilidad de ejecución remota de código que puede permitir que un administrador autenticado realice la ejecución remota de código en las pasarelas Pulse Connect Secure y Pulse Policy Secure «.
Pulse Connect Secure es una solución VPN para organizaciones y ofrece a los usuarios remotos una conexión segura a la red corporativa para que puedan iniciar sesión y trabajar de forma remota. Pulse Policy Secure es una conocida solución de control de acceso a la red, que no solo controla quién puede conectarse sino que también le asigna los permisos correspondientes.
Cuando se trata de software como este, una vulnerabilidad de bypass de autenticación es un problema grave. Cualquier criminal con el conocimiento adecuado puede pretender ser un empleado y acceder a los recursos de la compañía. En este caso, el acceso https y el uso de una URL especialmente preparada serían suficientes para leer un archivo arbitrario en un sistema vulnerable.
No hace falta decir que es un problema grave, y ni siquiera hemos tocado la posibilidad de ejecución remota de código. El sueño de cada hacker es poder ejecutar su código en su sistema. Eso les da un punto de apoyo dentro de su red desde el cual pueden expandir sus actividades. Pueden plantar ransomware o cualquier otra cosa que quieran.
¿Dónde obtendrían el conocimiento necesario?
Por diseño, muchos ciberdelincuentes son oportunistas, y saltarán a cualquier trabajo fácil de copiar y pegar que genere suficiente efectivo. Entonces, cuando la vulnerabilidad se discutió detalladamente en Black Hat a principios de agosto, el método para explotar la vulnerabilidad se convirtió en conocimiento general.
Dado que el uso de este método apenas requiere conocimiento experto, los investigadores pronto notaron mucha actividad de escaneo por parte de ciberdelincuentes que buscaban sistemas vulnerables. La vulnerabilidad en Pulse Secure se presentó junto con algunas vulnerabilidades en otros productos SSL VPN . Poco después, se publicó un exploit para esta vulnerabilidad en GitHub, por lo que cada imitador podría tenerlo a mano.
Sin parchear
El sábado 24 de agosto de 2019, los escaneos realizados por Bad Packets encontraron un total de 14,528 puntos finales VPN Secure Pulse vulnerables a CVE-2019-11510. Más de 5,000 de ellos se encontraban en los EE. UU., Incluidas agencias gubernamentales militares, federales, estatales y locales.
Una semana después, 10,471 servidores Pulse Secure VPN en todo el mundo seguían siendo vulnerables al compromiso. El lunes 16 de septiembre de 2019, todavía quedaban 7,712 parches. El lunes 7 de octubre de 2019, quedaron unos sorprendentes 6.018, con una gran cantidad de escaneos activos, y esto fue después de que la NSA y la NCSC emitieron avisos.
Responsabilidad
Una pregunta básica en casos como estos es: ¿Quién es responsable de aplicar parches? Sin duda, esperamos que un proveedor desarrolle un parche tan pronto como se conozca la vulnerabilidad, pero ¿qué sucede después de eso?
Los líderes de la industria han advertido durante mucho tiempo que la corrección de vulnerabilidades y la gestión efectiva de parches son esenciales para mantener a las organizaciones a salvo de los ataques cibernéticos. Pero hay algunos pasos esenciales en la cadena de entrega después del lanzamiento del parche:
- Los clientes deben conocer el parche y la urgencia requerida.
- Los proveedores de seguridad o revendedores deben asegurarse de que sus clientes conozcan la existencia del parche y las posibles consecuencias de no aplicarlo.
- Las organizaciones deben tener un departamento o proveedor externo que sea responsable de mantener actualizado el software de seguridad. Gastar dinero en software de primer nivel y luego dejarlo desatendido es una pérdida de dinero segura. Mantener el software en forma no se limita a aplicar parches, pero los parches de seguridad a veces pueden ser más importantes que obtener la última actualización de reglas.
La siguiente pregunta natural, entonces, es ¿por qué las organizaciones no aplican parches tan pronto como se enteran?
Lectura recomendada: abordar la escasez de personal calificado de TI: seguridad de todo el equipo
Entonces, ¿qué les impide aplicar el parche?
Suponiendo que el equipo de TI o de seguridad de una organización conoce el parche, las posibles razones para retrasarlo podrían ser el miedo a procesos interrumpidos o un posible desacuerdo sobre lo que podrían considerar crítico. Pero las posibles consecuencias de una vulnerabilidad crítica sin parches deberían superar en gran medida esas preocupaciones.
Podría haber varias otras razones para no aplicar parches tan pronto como estén disponibles:
- Equipos de seguridad y TI con poco personal.
- Analizar primero las consecuencias, lo que podría ralentizar el proceso debido a la falta de retroalimentación
- Esperando a que otros compartan sus experiencias antes de aplicar parches
- Sin darse cuenta de la existencia del parche, a veces como resultado de no tener tiempo para dar seguimiento a correos electrónicos y señales de advertencia
- Falta de un punto de contacto. ¿De quién es el problema? ¿Y de quién es el trabajo para resolverlo?
Como puede ver, la mayoría de estos se remontan a la falta de personal y tiempo, y a veces la financiación es responsable de esas dos escaseces. Pero a veces la falta de personal se debe a otras razones. Y una vez que no tiene suficiente personal, la falta de tiempo para dar seguimiento a los problemas es una consecuencia lógica.
La vulnerabilidad Pulse no está sola.
No es que la vulnerabilidad Pulse sea la única vulnerabilidad relacionada con VPN que existe (o cualquier vulnerabilidad de software, para el caso). Se sabe que existen problemas similares en productos de Fortinet y Palo Alto.
En un aviso del Centro Nacional de Seguridad Cibernética (NCSC) en el Reino Unido, los usuarios de los productos VPN afectados pueden encontrar entradas de registro específicas para buscar signos de un compromiso o intento de compromiso. También enfatizan la necesidad de parchear:
“Los parches de seguridad siempre deben aplicarse con prontitud. Más orientación está disponible en el sitio web de NCSC. El NCSC reconoce que los parches no siempre son sencillos y, en algunos casos, pueden causar interrupciones en el negocio, pero sigue siendo el paso más importante que una organización o individuo puede tomar para protegerse «.
Por lo tanto, la pregunta sigue siendo: si las organizaciones conocen el parche y tienen los recursos de personal para aplicarlo, ¿por qué tantos están arrastrando los pies? Quizás algunos de nuestros lectores puedan arrojar algo de luz sobre este misterio. Siéntase libre de compartir sus experiencias personales en los comentarios.
Sobre el autor