La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte que ha observado que actores de amenazas aprovechan cookies persistentes no cifradas administradas por el módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconocimientos de las redes objetivo.
Dijo que el módulo se está utilizando para enumerar otros dispositivos de la red que no tienen acceso a Internet. La agencia, sin embargo, no reveló quién está detrás de la actividad ni cuáles son los objetivos finales de la campaña.
“Un actor cibernético malicioso podría aprovechar la información recopilada de cookies persistentes no cifradas para inferir o identificar recursos de red adicionales y potencialmente explotar vulnerabilidades encontradas en otros dispositivos presentes en la red”, dijo CISA en un aviso.
También recomendó a las organizaciones cifrar las cookies persistentes empleadas en los dispositivos F5 BIG-IP configurando el cifrado de cookies dentro del perfil HTTP. Además, insta a los usuarios a verificar la protección de sus sistemas ejecutando una utilidad de diagnóstico proporcionada por F5 llamada BIG-IP iHealth para identificar problemas potenciales.
“El componente BIG-IP iHealth Diagnostics del sistema BIG-IP iHealth evalúa los registros, la salida de comandos y la configuración de su sistema BIG-IP comparándolos con una base de datos de problemas conocidos, errores comunes y las mejores prácticas publicadas por F5”, señala F5 en un documento de soporte.
“Los resultados priorizados brindan comentarios personalizados sobre problemas de configuración o defectos de código y brindan una descripción del problema (y) recomendaciones para su resolución”.
La divulgación se produce cuando las agencias de ciberseguridad del Reino Unido y los EE. UU. publicaron un boletín conjunto que detalla los intentos de los actores patrocinados por el estado ruso de apuntar a los sectores diplomático, de defensa, tecnológico y financiero para recopilar inteligencia extranjera y permitir futuras operaciones cibernéticas.
La actividad se ha atribuido a un actor de amenazas rastreado como APT29, que también se conoce como BlueBravo, Cloaked Ursa, Cozy Bear y Midnight Blizzard. Se entiende que APT29 es un engranaje clave en la máquina de inteligencia militar rusa y está afiliado al Servicio de Inteligencia Exterior (SVR).
“Las ciberintrusiones SVR incluyen un gran enfoque en permanecer anónimos y no detectados. Los actores utilizan TOR ampliamente durante las intrusiones -desde el objetivo inicial hasta la recopilación de datos- y en toda la infraestructura de red”, dijeron las agencias.
“Los actores alquilan infraestructura operativa utilizando una variedad de identidades falsas y cuentas de correo electrónico de baja reputación. El SVR obtiene infraestructura de revendedores de los principales proveedores de alojamiento”.
Los ataques montados por APT29 se han clasificado como aquellos diseñados para recopilar inteligencia y establecer un acceso persistente para facilitar los compromisos de la cadena de suministro (es decir, objetivos intencionales), así como aquellos que les permiten albergar infraestructura maliciosa o realizar operaciones de seguimiento desde cuentas comprometidas aprovechando fallas públicamente conocidas, credenciales débiles u otras configuraciones erróneas (es decir, objetivos de oportunidad).
Algunas de las vulnerabilidades de seguridad importantes destacadas incluyen CVE-2022-27924, una falla de inyección de comandos en Zimbra Collaboration, y CVE-2023-42793, un error crítico de omisión de autenticación que permite la ejecución remota de código en TeamCity Server.
APT29 es un ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas, técnicas y procedimientos en un intento de mantenerse sigilosos y eludir las defensas, llegando incluso al extremo de destruir su infraestructura y borrar cualquier evidencia si sospecha que sus intrusiones han sido detectadas, ya sea por la víctima o las autoridades.
Otra técnica notable es el uso extensivo de redes proxy, que incluyen proveedores de telefonía móvil o servicios de Internet residencial, para interactuar con víctimas ubicadas en América del Norte y mezclarse con el tráfico legítimo.
“Para interrumpir esta actividad, las organizaciones deben establecer una base de referencia para los dispositivos autorizados y aplicar un escrutinio adicional a los sistemas que acceden a sus recursos de red y que no cumplen con la línea de base”, dijeron las agencias.