Autores:
DMITRY KACHAN
ALINA SUJÁNOVA
El mercado de subcontratación de TI sigue mostrando un fuerte crecimiento a nivel mundial: estos servicios son cada vez más populares. Pero junto con las ventajas, como el ahorro de tiempo y recursos, delegar tareas no esenciales crea nuevos desafíos en términos de seguridad de la información. Al proporcionar a empresas de terceros (proveedores de servicios o contratistas) acceso a su infraestructura, las empresas aumentan el riesgo de ataques a relaciones de confianza ( T1199 en la clasificación MITRE ATT&CK).
En 2023, los ciberataques a las relaciones de confianza se ubicaron entre los tres vectores de ataque más utilizados . En tales ataques, los atacantes primero obtienen acceso a la red del proveedor de servicios y luego, si logran obtener credenciales activas para conectarse a la red de la organización objetivo, se infiltran en la infraestructura objetivo. En la mayoría de los casos, los contratistas son pequeñas y medianas empresas que están menos protegidas que las grandes. Esta es también la razón por la que los proveedores de servicios de TI atraen la atención de los atacantes.
El vector de relación de confianza es atractivo para los atacantes porque les permite llevar a cabo ataques a gran escala con un esfuerzo significativamente menor que otros vectores. Los atacantes sólo necesitan obtener acceso a la red del proveedor de servicios para exponer a todos sus clientes al riesgo cibernético, independientemente de su tamaño o industria. Además, los atacantes que utilizan conexiones legítimas a menudo pasan desapercibidos, ya que sus acciones dentro de la infraestructura de la organización afectada se parecen a las acciones de los empleados del proveedor de servicios. Según las estadísticas de 2023 , solo una de cada cuatro organizaciones afectadas identificó un incidente como resultado de la detección de actividades sospechosas (lanzamiento de herramientas de hackers, malware, escáneres de red, etc.) en su infraestructura, mientras que el resto descubrió que habían sido infiltradas a través de un tercero. parte sólo después de la filtración o el cifrado de datos.
Cómo se configura el acceso entre la organización de destino y el proveedor de servicios
Cualquier forma de conectar a un contratista a los sistemas de una organización objetivo (incluso la forma más segura) es un posible punto de entrada para intrusos. Sin embargo, la empresa cliente suele conceder al proveedor de servicios bastante acceso a sus sistemas, incluyendo:
asignar varios sistemas para realizar operaciones;
expedir accesos para conectarse a la infraestructura;
creación de cuentas de dominio.
Muy a menudo, la comunicación entre el proveedor de servicios y el cliente se realiza a través de conexiones VPN y servicios de Protocolo de escritorio remoto (RDP). El acceso se configura mediante un certificado o un par de inicio de sesión/contraseña y, en casos excepcionales, se agrega autenticación multifactor. Al haber comprometido la infraestructura del proveedor de servicios, los intrusos pueden obtener cuentas de usuario o certificados emitidos por la organización objetivo y así conectarse a sus sistemas.
Muchas empresas recurren al uso de utilidades de gestión remota como AnyDesk o Ammyy Admin. La mayoría de estas utilidades permiten el acceso automático mediante inicio de sesión/contraseña, pero son vulnerables a ataques de fuerza bruta . Además, si están mal configuradas, estas utilidades permiten conexiones desde cualquier dirección IP/sistema si tiene credenciales válidas.
El acceso a la infraestructura interna también se puede organizar mediante protocolos SSH o RDP y una lista de direcciones IP permitidas. Con este método, no es necesario conectarse a una VPN, pero los riesgos de seguridad aumentan significativamente (por ejemplo, la posibilidad de ataques de fuerza bruta).
Al mismo tiempo, a las organizaciones les resulta difícil monitorear el cumplimiento de las políticas de seguridad por parte de los proveedores de servicios. Por ejemplo, los contratistas pueden almacenar credenciales para conectarse a la red de la organización objetivo en texto plano en directorios públicos o en sistemas de información corporativos como Jira o Confluence, que el servicio de seguridad del cliente puede no conocer.
Cómo los atacantes obtienen acceso a la red de un proveedor de servicios
En nuestras investigaciones de incidentes, observamos continuamente el uso de varios vectores de ataque iniciales para obtener acceso a las infraestructuras de las empresas de subcontratación de TI. Consideremos los tres más populares, que representan más del 80% de todos los vectores de ataque iniciales.
El método más común de compromiso inicial es explotar las vulnerabilidades en aplicaciones a las que se puede acceder desde Internet. Por lo tanto, para penetrar la infraestructura, los atacantes utilizaron con mayor frecuencia vulnerabilidades en Microsoft Exchange, Atlassian Confluence, CMS Bitrix y Citrix VDI.
El segundo método más popular es el uso de credenciales comprometidas. En uno de cada tres incidentes en los que se utilizó este vector, los atacantes forzaron contraseñas de servicios accesibles desde la red externa: RDP, SSH y FTP. En otros casos, utilizaron datos robados antes de que comenzara el incidente.
Completando los tres primeros se encuentra el phishing dirigido. Los atacantes continúan perfeccionando sus esquemas de múltiples pasos y métodos de ingeniería social, a menudo utilizando documentos adjuntos y archivos que contienen malware para penetrar en la red.
Seguir leyendo en…
FUENTE: https://securelist.com/trusted-relationship-attack/112731/
