CISA está utilizando los hallazgos de una investigación reciente de una organización de infraestructura crítica no identificada para advertir sobre los peligros de equivocar la ciberseguridad.
La Agencia de Ciberseguridad de EE. UU., Junto con expertos de la Guardia Costera de los Estados Unidos (USCG), identificó innumerables debilidades en el enfoque de la seguridad de la organización misteriosa, incluida la almacenamiento de credenciales en texto sin formato.
Los cazadores de amenazas no encontraron signos de juego sucio, ni ninguna actividad maliciosa en la red, sino que publicaron un informe extenso de sus hallazgos el jueves, destacando riesgos como:
Registro insuficiente
Credenciales de almacenamiento inseguro
Credenciales de administración locales compartidas en muchas estaciones de trabajo
Acceso remoto sin restricciones para cuentas de administración locales
Configuración insuficiente de segmentación de red entre los activos de TI y tecnología operativa
Configuraciones erróneas del dispositivo
El informe de CISA no afirmó explícitamente que la organización de infraestructura crítica en cuestión operara en la industria marina. Sin embargo, el hecho de que colaborara con el USCG, y que muchos de sus hallazgos se superponen con los de las tendencias del Comando Cibernética de la Guardia Costera de 2024, sugiere que el tema del informe era de interés para ambas autoridades.
El delito más grave de esta organización fue compartir cuentas de administración locales, que estaban protegidas por no unique. contraseñas que se almacenaron en texto sin formato, según CISA, que clasificaba los riesgos en orden de gravedad.
La agencia dijo que «algunas» de estas cuentas fueron encontradas, solo en estaciones de trabajo, no servidores o dispositivos, y se compartieron entre muchos anfitriones. Sus credenciales se almacenaron en scripts de lotes de texto sin formato utilizados para crear cuentas de administración con contraseñas idénticas y no explicadas.
«El almacenamiento de credenciales de administración locales en scripts de texto sin formato en numerosos hosts aumenta el riesgo de un acceso no autorizado generalizado, y el uso de contraseñas no únicas facilita el movimiento lateral en toda la red», escribió CISA en su informe. «Los actores maliciosos con acceso a estaciones de trabajo con cualquiera de estos scripts por lotes podrían obtener las contraseñas para estas cuentas de administración locales buscando en el sistema de archivos como usuarios /ADD, identificando scripts que contienen nombres de usuario y contraseñas, y accediendo a estas cuentas para moverse lateralmente».
Si un atacante obtuvo acceso de administrador local remoto a la red de esta organización, podría crear nuevas cuentas, instalar software para mantener el acceso persistente, deshabilitar las características de seguridad o inyectar código malicioso.
La organización también segmentó incorrectamente su entorno de tecnología operativa (OT), lo que permitió a las cuentas de usuario estándar acceder a la VLAN de control de supervisión y adquisición de datos (SCADA).
Cisa advirtió que tener a alguien obtenga acceso no autorizado a estos sistemas crear preocupaciones de seguridad del mundo real.
Dentro de la infraestructura nacional crítica, los sistemas SCADA monitorean varias piezas de equipos OT, como sensores y válvulas, tecnología de comunicaciones como cables de radio y fibra óptica, y controladores lógicos programables.
Si un atacante pudiera controlar la temperatura o los medidores de presión, o los caudales, por ejemplo, teóricamente podría crear riesgos del mundo real para los trabajadores.
CISA dijo que sus investigadores encontraron algunos problemas relacionados con los sistemas HVAC de la instalación, observando hosts de bastión configurados incorrectamente y insuficientemente. Cuando se establecen correctamente, estos sistemas evitan el acceso no autorizado y el movimiento lateral.
«Dado que los sistemas SCADA y HVAC controlan los procesos físicos, los compromisos de estos sistemas pueden tener consecuencias del mundo real, incluidos los riesgos para la seguridad del personal, la integridad de la infraestructura y la funcionalidad del equipo», dice el informe.
CISA también dijo que no pudo llevar a cabo una búsqueda integral de amenazas como le hubiera gustado debido a la falta de registros de estación de trabajo de la organización.
Dichos registros son útiles para determinar la capacidad de una organización para detectar acceso no autorizado y movimiento lateral cuando los atacantes implementan técnicas que evaden las defensas típicas, como el uso de cuentas válidas y eludir EDR alertas.
«El registro insuficiente puede evitar la detección de actividades maliciosas al obstaculizar las investigaciones, lo que hace que la detección de los actores de amenaza sea más desafiante y deja a la red susceptible a amenazas no detectadas», dijo CISA.
El informe incluye una lista de recomendaciones generales para que los defensores implementen siguiendo la sonda de la organización, que se llevó a cabo con su conocimiento.
También se sabe que CISA ingresa a las agencias federales sin previo aviso como parte de los ejercicios del equipo rojo o las evaluaciones de Silentshield.
Este tipo de prueba diferente simula una campaña de compromiso a largo plazo utilizando tácticas que los adversarios estadounidenses y sus equipos cibernéticos patrocinados por el estado implementan.
Un ejemplo se produjo hace un año, nuevamente con una agencia federal no especificada, y vio a CISA llegar a la red, permanecer allí sin ser detectado durante cinco meses.
Los equipo rojo obtuvieron acceso inicial a la red de la agencia utilizando una vulnerabilidad crítica no ecológica (CVE-2022-21587-9.8) que afecta a su enclave Oracle Solaris.
Esto condujo a un compromiso completo y, sí, el defecto se agregó a CISA’s Catálogo de vulnerabilidad explotada conocida (KEV)pero eso ocurrió una semana después de que CISA lo usó para obtener acceso. ®