Category: Investigación de Amenazas

Firewall versus Next Generation Firewall

Un NGFW surge dado que, la red corporativa esta cada día mas compleja, son miles de nuevas aplicaciones, además de incontables dispositivos de funcionarios conectados, exigiendo alta disponibilidad para sus conexiones. A la misma velocidad, los cibercriminales se vuelven más modernos y capaces de burlar los más reforzados sistemas de protección, generando así una tarea cada vez mas compleja en el ámbito de la ciberseguridad.

En esta nueva realidad, el firewall debe ser la primera línea de defensa de las empresas contra ataques. Sin embargo, las versiones tradicionales no logran acompañar la evolución de las amenazas, volviéndose incapaces de ofrecer la seguridad necesaria.

Es por esto que las empresas se ven impulsadas en usar nuevas tecnologías, más modernas e inteligentes, para enfrentar las nuevas amenazas. Fortinet lo ha desarrollado siendo uno de los mejores del mercado.

¿Qué hace exactamente un firewall y por qué todas las empresas deben tener uno?

El firewall es un software o dispositivo de hardware utilizado para bloquear los accesos no autorizados en redes privadas. Funciona como una barrera de protección para evitar cibercriminales, robo de información y la entrada de virus a la red corporativa.

Por medio de un firewall eficiente, la red corporativa se vuelve segura y confiable, permitiendo que los sistemas corporativos funcionen sin interrupciones. Analiza todo el tráfico, pues funciona como un filtro de todo el flujo de datos para mantener su confidencialidad y seguridad.

Todas las empresas debieran contar con en un firewall inteligente y robusto, puesto que es el responsable de filtrar y procesar todo el tráfico de datos. De esta forma, en caso de que alguna amenaza intente infiltrarse en la red corporativa, encontrará barreras reforzadas para impedir su ingreso.

Además, ese el software del Firewall es capaz de separar las redes por sectores, haciendo más fácil el flujo de datos garantizando la confidencialidad de los archivos corporativos.

Firewall tradicional versus Next Generation Firewall: ¿cuál escoger?

Como mencionamos anteriormente, los firewall tradicionales no son capaces de acompañar la modernización de las amenazas existentes. Gracias a los grandes flujos que usan protocolos web, lamentablemente no logran diferenciar entre aplicaciones legítimas y ataques.
El Next Generation Firewall fue creado para las nuevas vulnerabilidades y necesidades de las redes actuales. Representa una opción avanzada y altamente especializada para lidiar con ambientes complejos.
El Next Generation Firewall (NGFW), o Firewall de próxima generación en español, se destaca por el profundo control de aplicaciones y es capaz de acceder a todas las capas de tráfico.

Funciones extras de un NGFW

Algunas de las funciones que pueden realizar los NGFW como el de Fortinet son:

  • IPS
  • AMP (Advanced Malware Protection)
    • Antivirus
    • Botnet
    • Mobile Malware
    • Fortigate Cloud Sandbox
    • Outbrake Prevention
  • Web Security
    • Web and Content Filtering
    • Secure DNS Filtering
    • DNS Filtering
  • Antispam
  • Forticare Support Services

Investigador de seguridad de Fortinet descubre múltiples vulnerabilidades en Adobe Illustrator

Informe de investigación de amenazas de FortiGuard Labs

Plataformas afectadas:  Windows 
Partes afectadas:     Usuarios de Adobe Illustrator 2021, versiones 25.4.1 y anteriores
Impacto: Varias vulnerabilidades que conducen a la ejecución arbitraria de código, pérdida de memoria y denegación de servicio de la aplicación
Nivel de gravedad:           Crítico

En agosto de 2021, descubrí e informé varias vulnerabilidades de día cero en Adobe Illustrator a Adobe, Inc. El martes 26 de octubre de 2021, Adobe lanzó varios  parches de seguridad  que corrigieron estas vulnerabilidades. Se identifican como CVE-2021-40718, CVE-2021-40746, CVE-2021-40747, CVE-2021-40748 y CVE-2021-40749. Todas estas vulnerabilidades tienen causas raíz similares relacionadas con un solo complemento de Illustrator. Sugerimos a los usuarios que apliquen los parches de Adobe lo antes posible. 

A continuación se presentan algunos detalles sobre estas vulnerabilidades. Puede encontrar más información en las páginas relacionadas con el aviso de día cero de Fortinet haciendo clic en los enlaces de CVE, a continuación: 

CVE-2021-40718:

Esta es una vulnerabilidad de pérdida de memoria que existe en la decodificación de archivos ‘DWG’ de dibujo de AutoCAD en Adobe Illustrator. Específicamente, la vulnerabilidad es causada por un archivo DWG con formato incorrecto, que provoca un acceso a la memoria de lectura fuera de límites debido a una verificación de límites incorrecta. 

Los atacantes pueden aprovechar esta vulnerabilidad para lecturas de memoria no deseadas, lo que podría provocar una pérdida de datos de memoria.

Fortinet lanzó anteriormente la   firma IPS Adobe.Illustrator.CVE-2021-40718.Memory.Leak para esta vulnerabilidad específica para proteger proactivamente a nuestros clientes.

CVE-2021-40746 :

Se trata de una vulnerabilidad de ejecución de código arbitrario que existe en la decodificación de archivos ‘DWG’ de dibujo de AutoCAD en Adobe Illustrator. Específicamente, la vulnerabilidad es causada por un archivo DWG con formato incorrecto, que provoca un acceso a la memoria fuera de los límites debido a una verificación de límites incorrecta. 

Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar código arbitrario dentro del contexto de la aplicación a través de un archivo DWG diseñado.

Fortinet lanzó anteriormente la   firma IPS Adobe.Illustrator.CVE-2021-40746.Arbitrary.Code.Execution para esta vulnerabilidad específica para proteger proactivamente a nuestros clientes.

CVE-2021-40747 :

Se trata de una vulnerabilidad de corrupción de memoria que existe en la decodificación de archivos ‘DWG’ de dibujo de AutoCAD en Adobe Illustrator. Específicamente, la vulnerabilidad está causada por un archivo DWG con formato incorrecto, lo que provoca una desreferencia del puntero NULL. 

Los atacantes pueden aprovechar esta vulnerabilidad con un archivo DWG diseñado, lo que podría provocar una denegación de servicio de la aplicación.

Fortinet lanzó anteriormente la   firma IPS Adobe.Illustrator.CVE-2021-40747.DoS para esta vulnerabilidad específica para proteger proactivamente a nuestros clientes.

CVE-2021-40748 :

Se trata de una vulnerabilidad de corrupción de memoria que existe en la decodificación de archivos ‘DWG’ de dibujo de AutoCAD en Adobe Illustrator. Específicamente, la vulnerabilidad está causada por un archivo DWG con formato incorrecto, lo que provoca una desreferencia del puntero NULL. 

Los atacantes pueden aprovechar esta vulnerabilidad con un archivo DWG diseñado, lo que podría provocar una denegación de servicio de la aplicación.

Fortinet lanzó anteriormente la   firma IPS Adobe.Illustrator.CVE-2021-40748.DoS para esta vulnerabilidad específica para proteger proactivamente a nuestros clientes.

CVE-2021-40749 :

Se trata de una vulnerabilidad de corrupción de memoria que existe en la decodificación de archivos ‘DWG’ de dibujo de AutoCAD en Adobe Illustrator. Específicamente, la vulnerabilidad está causada por un archivo DWG con formato incorrecto, lo que provoca una desreferencia del puntero NULL. 

Los atacantes pueden aprovechar esta vulnerabilidad con un archivo DWG diseñado, lo que podría provocar una denegación de servicio de la aplicación.

Fortinet lanzó anteriormente la   firma IPS Adobe.Illustrator.CVE-2021-40749.DoS para esta vulnerabilidad específica para proteger proactivamente a nuestros clientes.

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Yonghui Han | 29 Octubre 2021

Predicciones para 2022: las amenazas del mañana apuntarán a la superficie de ataque en expansión

Según FortiGuard Labs , 2022 se perfila como un año excepcional para los ciberdelincuentes, con ransomware en aumento y un número sin precedentes de atacantes haciendo fila para encontrar una víctima. Los ataques continuarán extendiéndose por toda la superficie de ataque, dejando a los equipos de TI luchando por cubrir todas las posibles vías de ataque. Esto será increíblemente desafiante porque la superficie de ataque se expandirá simultáneamente a medida que las organizaciones hagan la transición a entornos y espacios de trabajo más híbridos, adopten más tecnologías basadas en IA y ML , desarrollen nuevas opciones de conectividad e implementen aplicaciones y dispositivos críticos para el negocio adicionales en la nube. Al comprender lo que puede deparar el futuro en relación con las amenazas cibernéticas, nos damos la mejor oportunidad posible de vencerlas. 

Marco de ataque: de izquierda a derecha

Los ataques a menudo se discuten en términos de amenazas de mano izquierda y derecha cuando se ven a través de una cadena de ataque como el marco MITRE ATT & CK . A la izquierda están los esfuerzos realizados antes del ataque, que incluyen estrategias de planificación, desarrollo y armamento. Predecimos que los ciberdelincuentes dedicarán más tiempo y esfuerzo al reconocimiento y al descubrimiento de capacidades de día cero para explotar nuevas tecnologías y ampliar los entornos de red. 

Además de los esfuerzos redoblados en el lado izquierdo de la cadena de ataque, también veremos un aumento significativo en la velocidad a la que se pueden lanzar nuevos ataques en el lado derecho debido a la expansión del mercado del Crimen como Servicio. Además de la venta de ransomware y otras ofertas de malware como servicio, es probable que veamos nuevas soluciones criminales, que incluyen phishing y botnets como servicio, así como un aumento en la venta de acceso a objetivos precomprometidos. 

También veremos un aumento de nuevos ataques. Las organizaciones deben prepararse para atacar nuevos vectores de ataque, como las plataformas Linux. Linux todavía ejecuta los sistemas de back-end de la mayoría de las redes y, hasta hace poco, la comunidad de hackers lo ha ignorado en gran medida. Pero ya hemos comenzado a ver nuevos ataques basados ​​en Linux como Vermilion Strike, que es una implementación maliciosa de la función Beacon de Cobalt Strike que puede apuntar a sistemas Linux con capacidades de acceso remoto sin ser detectados.

De manera similar, Microsoft está integrando activamente WSL (Subsistema de Windows para Linux) en Windows 11. WSL es una capa de compatibilidad para ejecutar ejecutables binarios de Linux de forma nativa en Windows. Ya hemos visto archivos de prueba maliciosos dirigidos a WSL. Estos archivos actúan como cargadores, muchos de ellos con cargas útiles maliciosas. Simplemente carecen de la capacidad de inyectar esas cargas útiles en el sistema WSL.  Y también estamos viendo que se escribe más malware de botnet para plataformas Linux. Esto expande aún más la superficie de ataque, hasta el borde de la red. Esperamos ver aún más actividad dirigida a dispositivos periféricos que tradicionalmente los ciberdelincuentes habían pasado por alto.

De arriba a abajo

Esperamos ver nuevos exploits dirigidos a las redes de satélite durante el próximo año. Ya existen media docena de importantes proveedores de Internet por satélite. Las estaciones base de satélite sirven como punto de entrada a la red de satélites, esencialmente conectando a todos, en todas partes, incluidos los ciberdelincuentes con sus objetivos, por lo que aquí es donde acecharán muchas amenazas. Pero también habrá millones de terminales desde los que lanzar un ataque. Ya hemos comenzado a ver nuevas amenazas dirigidas a redes basadas en satélites, como ICARUS, que es un ataque DDoS de prueba de concepto que aprovecha la accesibilidad global directa a los satélites para lanzar ataques desde numerosas ubicaciones.

Los principales objetivos serán las organizaciones que dependen de la conectividad satelital para administrar sus negocios, las que brindan servicios críticos a ubicaciones remotas y las organizaciones que brindan servicios a clientes en movimiento, como cruceros, buques de carga y aerolíneas comerciales. Seguramente seguirán otros ataques, como el ransomware.

En el extremo más pequeño de la escala, también esperamos ver un aumento en el robo digital por parte de los atacantes que apuntan a las billeteras criptográficas. Si bien los bancos han podido defenderse en gran medida de los ataques dirigidos a transferencias bancarias mediante el cifrado y la autenticación de múltiples factores, muchas billeteras digitales se encuentran desprotegidas en computadoras portátiles y teléfonos inteligentes. Ya hemos visto surgir nuevos ataques dirigidos a carteras digitales. Un nuevo generador de tarjetas de regalo falsas de Amazon apunta específicamente a las billeteras digitales reemplazando la billetera de la víctima por la del atacante. Y ElectroRAT se dirige a ellos combinando ingeniería social con aplicaciones de criptomonedas personalizadas y un nuevo troyano de acceso remoto.(RAT) para apuntar a varios sistemas operativos, incluidos Windows, Linux y macOS. Esperamos ver más malware diseñado para apuntar a las credenciales criptográficas almacenadas y agotar las billeteras digitales, especialmente a medida que más empresas adoptan billeteras digitales para realizar compras.

Núcleo hasta el borde

También predecimos que los ataques continuarán extendiéndose por la red, incluido un aumento en los ataques dirigidos a los sistemas de tecnología operativa (OT). Según un informe reciente de CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.), Los ataques de ransomware se dirigen cada vez más a la infraestructura crítica y “han demostrado la creciente amenaza del ransomware para los activos y sistemas de control de tecnología operativa (OT)”. Esto está siendo impulsado por la convergencia casi universal de las redes de TI y OT, que ha permitido que algunos ataques se dirijan a los sistemas de OT a través de las redes domésticas y los dispositivos de los trabajadores remotos comprometidos.

Tradicionalmente, los ataques a los sistemas OT eran el dominio de actores de amenazas altamente especializados que conocían los sistemas ICS y SCADA. Pero incluso esas capacidades y herramientas altamente especializadas ahora se incluyen en los kits de ataque disponibles para su compra en la web oscura, lo que los pone a disposición de un conjunto mucho más amplio de atacantes mucho menos técnicos.

Y en el otro extremo de la red, también vemos que surgen nuevos desafíos basados ​​en el borde. “Vivir de la tierra” es una técnica que permite a los actores de amenazas y malware aprovechar los conjuntos de herramientas y las capacidades existentes en entornos comprometidos. Esto permite que los ataques y la exfiltración de datos parezcan una actividad normal del sistema y pasen desapercibidos. Los ataques que viven de la tierra son efectivos porque utilizan herramientas legítimas para llevar a cabo sus acciones maliciosas. Y ahora, a medida que los dispositivos de borde se vuelven más poderosos, con más capacidades nativas y, por supuesto, más privilegios, esperamos ver nuevos ataques diseñados para “vivir del borde”. El malware que vive en estos entornos perimetrales utilizará los recursos locales para monitorear las actividades y los datos perimetrales y luego robar, secuestrar o incluso rescatar sistemas, aplicaciones e información críticos mientras evita la detección.

¿Por dónde empezar con la expansión de la superficie de ataque?

Defenderse contra esta nueva ola de amenazas requiere un enfoque holístico e integrado de la seguridad. Los productos puntuales deben reemplazarse por dispositivos de seguridad diseñados para interoperar como una solución unificada independientemente de dónde se implementen. Necesitan proteger a todos los usuarios, dispositivos y aplicaciones con una política unificada que pueda seguir los datos y las transacciones de un extremo a otro. La administración centralizada también ayudará a garantizar que las políticas se apliquen de manera consistente, que las configuraciones y actualizaciones se entreguen con prontitud y que los eventos sospechosos que puedan ocurrir en cualquier lugar de la red, incluidos los entornos de nube, entre ellos y dentro de ellos, se recopilen y correlacionen de manera centralizada.

Se insta encarecidamente a las organizaciones a que amplíen sus esfuerzos reforzando su Linux y otros dispositivos tradicionalmente de bajo perfil. También deben tener herramientas diseñadas para proteger, detectar y responder a las amenazas dirigidas a estos dispositivos. De manera similar, las organizaciones deben adoptar un enfoque de seguridad primero al adoptar nuevas tecnologías, ya sea actualizando sus sistemas basados ​​en Windows o agregando conectividad basada en satélites, para asegurarse de que las protecciones estén en su lugar antes de agregarlas a su red. Además, se deben implementar análisis de comportamiento para detectar amenazas de “mano izquierda”. Descubrir y bloquear un ataque durante el reconocimiento inicial y los esfuerzos de sondeo puede ayudar a aumentar la conciencia de las amenazas y prevenir problemas que surjan más adelante en la cadena del ataque.

Las herramientas de seguridad deben seleccionarse en función de su capacidad para detectar y prevenir amenazas conocidas y desconocidas y responder a las amenazas activas en tiempo real antes de que se puedan establecer cabezas de playa o se puedan entregar cargas útiles maliciosas. Para ayudar, AIy las capacidades de aprendizaje automático deben implementarse de manera generalizada en toda la red para establecer un comportamiento normal de referencia y responder instantáneamente a los cambios y detectar y deshabilitar amenazas sofisticadas antes de que puedan ejecutar sus cargas útiles. También son esenciales para correlacionar cantidades masivas de datos recopilados para detectar comportamientos maliciosos, incluido el uso de fuentes de amenazas y perfiles de ataque para predecir los lugares más probables en que puede ocurrir un ataque y reforzar de manera proactiva esas defensas. También se deben considerar otras tecnologías avanzadas, como el engaño, para convertir una red tradicionalmente pasiva en un sistema de defensa activo.

Las amenazas no muestran signos de desaceleración. Si su red y sus herramientas de seguridad no están listas para proteger a su organización de la próxima generación de amenazas ahora, mañana puede ser demasiado tarde para realizar los cambios críticos que necesita. La implementación amplia, la integración profunda y la automatización dinámica, combinadas con alto rendimiento e hiperescalabilidad, son las características distintivas de cualquier sistema de seguridad diseñado para proteger la forma en que las organizaciones actuales necesitan administrar sus negocios. Para combatir estas amenazas en evolución, las organizaciones deben adoptar una plataforma Security Fabric basada en una arquitectura de malla de ciberseguridad.

Derek Manky | 16 Noviembre, 2021