A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) está alertando que observou atores de ameaças se aproveitando de cookies persistentes não criptografados gerenciados pelo módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconhecimento de redes-alvo.
A agência informou que o módulo está sendo utilizado para enumerar outros dispositivos que não estão voltados para a internet na rede.
Contudo, a agência não revelou quem está por trás da atividade, nem quais são os objetivos finais da campanha.
"Um ator malicioso de cibersegurança poderia aproveitar as informações coletadas a partir de cookies de persistência não criptografados para inferir ou identificar recursos adicionais da rede e potencialmente explorar vulnerabilidades encontradas em outros dispositivos presentes na rede," disse a CISA em um comunicado.
Também recomendou que as organizações criptografem cookies persistentes utilizados em dispositivos F5 BIG-IP configurando a criptografia de cookies dentro do perfil HTTP.
Além disso, está instando os usuários a verificar a proteção de seus sistemas executando uma utilidade diagnóstica fornecida pela F5 chamada BIG-IP iHealth para identificar possíveis problemas.
"O componente Diagnósticos BIG-IP iHealth do sistema BIG-IP iHealth avalia os registros, saída de comandos e configuração do seu sistema BIG-IP contra um banco de dados de problemas conhecidos, erros comuns e melhores práticas publicadas pela F5," observa a F5 em um documento de suporte.
Os resultados priorizados fornecem feedback personalizado sobre problemas de configuração ou defeitos de código e fornecem uma descrição do problema, [e] recomendações para resolução.
A divulgação ocorre enquanto as agências de cibersegurança do Reino Unido e dos EUA publicaram um boletim conjunto detalhando as tentativas de atores patrocinados pelo estado russo de atacar os setores diplomático, de defesa, tecnológico e financeiro para coletar inteligência estrangeira e habilitar futuras operações cibernéticas.
A atividade foi atribuída a um ator de ameaça rastreado como APT29, também conhecido como BlueBravo, Cloaked Ursa, Cozy Bear e Midnight Blizzard.
Entende-se que o APT29 seja uma peça chave na máquina de inteligência militar russa e está afiliado ao Serviço de Inteligência Estrangeira (SVR).
"Intrusões cibernéticas do SVR incluem um foco intenso em permanecer anônimo e não detectado.
Os atores usam o TOR extensivamente durante as intrusões – desde o alvo inicial até a coleta de dados – e em toda a infraestrutura de rede," disseram as agências.
"Os atores alugam infraestrutura operacional usando uma variedade de identidades falsas e contas de e-mail de baixa reputação.O SVR obtém infraestrutura de revendedores de grandes provedores de hospedagem.
Ataques realizados pelo APT29 foram categorizados como aqueles projetados para colher inteligência e estabelecer acesso persistente de modo a facilitar comprometimentos da cadeia de suprimentos (ou seja, alvos de intenção), bem como aqueles que permitem hospedar infraestrutura maliciosa ou conduzir operações subsequentes de contas comprometidas aproveitando-se de falhas publicamente conhecidas, credenciais fracas, ou outras configurações incorretas (ou seja, alvos de oportunidade).
Algumas das vulnerabilidades de segurança significativas destacadas incluem
CVE-2022-27924
, uma falha de injeção de comando no Zimbra Collaboration, e
CVE-2023-42793
, um bug crítico de bypass de autenticação que permite a execução remota de código no TeamCity Server.
O APT29 é um exemplo relevante de atores de ameaças inovando continuamente em suas táticas, técnicas e procedimentos na tentativa de permanecer furtivos e contornar defesas, chegando ao ponto de destruir sua infraestrutura e apagar quaisquer evidências caso suspeite que suas intrusões tenham sido detectadas, seja pela vítima ou pela aplicação da lei.
Outra técnica notável é o uso extensivo de redes proxy, que compreendem provedores de telefonia móvel ou serviços de internet residencial, para interagir com vítimas localizadas na América do Norte e se misturar ao tráfego legítimo.
"Para interromper essa atividade, as organizações devem estabelecer uma linha de base para dispositivos autorizados e aplicar um escrutínio adicional aos sistemas que acessam seus recursos de rede e que não aderem à linha de base," disseram as agências.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...