CISA quiere que los dispositivos gubernamentales expuestos sean reparados en 14 días

Los investigadores han descubierto cientos de dispositivos que se ejecutan en redes gubernamentales que exponen interfaces de administración remota en la web abierta. Gracias a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), eso cambiará rápidamente, posiblemente demasiado rápido, según algunos expertos.

El 13 de junio, CISA lanzó Directiva operativa vinculante (DBO) 23-02, con el objetivo de eliminar las interfaces de administración expuestas a Internet que se ejecutan en dispositivos periféricos en las redes de agencias de la Rama Ejecutiva Civil Federal (FCEB). El anuncio llegó poco después Aviso de CISA sobre Volt Typhoon, la amenaza persistente avanzada (APT) respaldada por el estado chino que aprovechó los dispositivos Fortinet FortiGuard en Campañas de espionaje contra entidades del gobierno de EE.UU..

Para medir cuán significativo sería el BOD 23-02, investigadores de Censys escanearon Internet para dispositivos que exponen interfaces de gestión en poder ejecutivo civil federal (FCEB) agencias. Los escaneos revelaron casi 250 dispositivos calificados, así como una serie de otras vulnerabilidades de red fuera del alcance de BOD 23-02. 

“Si bien este nivel de exposición probablemente no justifique un pánico inmediato, sigue siendo preocupante, porque podría ser solo la punta del iceberg”, dice Himaja Motheram, investigador de seguridad de Censys. "Sugiere que puede haber problemas de seguridad más profundos y críticos, si no se cumple con este tipo de higiene básica".

Cómo están expuestas las organizaciones FCEB

Los dispositivos que califican bajo BOD 23-02 incluyen enrutadores expuestos a Internet, conmutadores, firewalls, concentradores VPN, proxies, balanceadores de carga, interfaces de administración de servidores fuera de banda y cualquier otro "para el cual las interfaces de administración utilizan protocolos de red para administración remota a través de Internet pública”, explicó CISA, protocolos como HTTP, FTP SMB y otros.

Los investigadores de Censys descubrieron cientos de estos dispositivos, incluidos varios dispositivos Cisco que exponen Interfaces del administrador de dispositivos de seguridad adaptable, interfaces de enrutador Cradlepoint y productos de cortafuegos populares de Fortinet y SonicWall. También encontraron más de 15 instancias de protocolos de acceso remoto expuestos que se ejecutan en hosts relacionados con FCEB.

La búsqueda fue tan abundante que incluso descubrieron muchas vulnerabilidades de la red federal más allá del alcance de BOD 23-02, incluido herramientas de transferencia de archivos expuestas como GoAnywhere MFT y Muévelo, Puertas de enlace de seguridad de correo electrónico Barracuda expuestasy varias instancias de software obsoleto.

Las organizaciones a menudo no conocen su nivel de exposición o no entienden las implicaciones de la exposición. Motheram enfatiza que el equipo desprotegido fue bastante fácil de encontrar. “Y lo que fue trivial para nosotros encontrar es, honestamente, probablemente aún más trivial para los actores de amenazas aficionados”.

Cómo quedan expuestos los dispositivos perimetrales

¿Cómo es que tantos dispositivos están expuestos en redes gubernamentales que, de otro modo, estarían altamente examinadas?

Joe Head, CTO de Intrusión, apunta a una serie de razones, que incluyen "la conveniencia del administrador, la falta de conciencia de seguridad operativa, la falta de respeto por los adversarios, el uso de contraseñas predeterminadas o conocidas y la falta de visibilidad".

James Cochran, director de seguridad de punto final de Tanium, agrega que "la escasez de personal puede hacer que los equipos de TI con exceso de trabajo tomen atajos para que puedan facilitar la administración de la red".

Considere también las trampas exclusivas del gobierno que pueden empeorar aún más el problema. “Con poca supervisión y preocupación por las amenazas potenciales, los dispositivos pueden agregarse a la red con el pretexto de ser 'de misión crítica', lo que los absuelve de todo escrutinio”, lamenta Cochran. Las agencias también pueden fusionarse o expandirse, con brechas en su red e integración de seguridad. “Con el tiempo, las redes en general comienzan a parecerse a algo sacado de una película de Mad Max, donde las cosas aleatorias se unen y no estás seguro de por qué”.

¿BOD 23-02 cambiará las cosas?

En su directiva, CISA indicó que comenzará a buscar dispositivos calificadores e informará a las agencias culpables. Tras la notificación, las agencias infractoras tendrán solo 14 días para desconectar estos dispositivos de la Web o “implementar capacidades, como parte de una arquitectura de confianza cero, que imponen el control de acceso a la interfaz a través de un punto de aplicación de políticas separado de la propia interfaz. .”

Ese período de dos semanas obligará a las agencias pertinentes a actuar con rapidez para proteger sus sistemas. Pero eso podría ser difícil, reconoce Motheram. “En teoría, eliminar los dispositivos que están expuestos de Internet debería ser simple, pero esa no siempre es la realidad. Puede haber cierta burocracia con la que lidiar al cambiar las políticas de acceso que añaden fricción”, explica.

Otros creen que la carga es indebida. “Esta no es una línea de tiempo responsable”, dice Cochran. “Dado que el problema está tan extendido, esperaría que hubiera impactos significativos en las agencias identificadas. Esto es lo mismo que tratar de desenredar un montón de cables serrándolos”.

Otros aplauden el enfoque sensato de CISA. “Es difícil establecer un cronograma para dejar de hacer lo que nunca se debería haber hecho”, dice Head, argumentando que 14 días puede ser demasiado tiempo para esperar. “Cinco minutos serían más recomendables mientras los gerentes encargan los cambios correctivos de la red. Ha sido una práctica estándar no exponer las interfaces de administración a la Internet pública durante años, por lo que hacer que sea obligatorio es prudente y razonable”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days