Esta semana en ciberseguridad – Septiembre semana 1

Vulnerabilidad Critica calificada con un rating CVSS 9.8/10 en Productos Cisco

Este Miércoles 1 de Septiembre, Cisco remedio un error crítico, calificado con un rating CVSS 9.8/10, en su software “Cisco Enterprise NFVIS”, para el cual existe un exploit de prueba de concepto (PoC) disponible públicamente.

Cisco Enterprise NFVIS es un software de infraestructura basado en Linux que ayuda a los proveedores de servicios y otros clientes a implementar funciones de red virtualizadas, como routers virtuales y firewalls, así como aceleración WAN, en dispositivos Cisco compatibles. También proporciona aprovisionamiento automatizado y administración centralizada.

La vulnerabilidad de omisión de autenticación en Enterprise NFV Infrastructure Software (NFVIS) ha sido identificada como CVE-2021-34746 y podría permitir que un atacante remoto no autenticado eludir la autenticación e iniciar sesión en un dispositivo vulnerable como administrador.

“Un atacante podría aprovechar esta vulnerabilidad inyectando parámetros en una solicitud de autenticación”…. “Un exploit exitoso podría permitir al atacante eludir la autenticación e iniciar sesión como administrador en el dispositivo afectado”.

explicó Cisco en su aviso de seguridad.

Si la autenticación TACACS está activada, eres vulnerable
La vulnerabilidad se debe a la validación incompleta de la entrada proporcionada por el usuario que se pasa a una secuencia de comandos de autenticación durante el inicio de sesión. La falla se encuentra en Cisco Enterprise NFVIS Release 4.5.1 si el método de autenticación externa TACACS está configurada (característica presente en la funcionalidad de AAA -autenticación, autorización y contabilidad – del software).

Cisco dijo que las configuraciones que usan RADIUS o autenticación local no se ven afectadas.

Recomendación
No existen alternativas para mitigar esta vulnerabilidad, por lo que la recomendación es actualizar. Los parches para solucionar el error están disponibles en las versiones 4.6.1 y posteriores de Enterprise NFVIS.

Cisco dijo que está al tanto del código de explotación de PoC disponible públicamente, pero que no ha visto ningún exploit malicioso exitoso en este momento.

FUENTE: https://threatpost.com/cisco-patches-critical-authentication-bug-with-public-exploit/169146/

Proxytoken: bypass de autenticación en Microsoft Exchange Server

Está siendo un año especialmente duro para Microsoft en cuanto a vulnerabilidades en sus productos y Exchange es sin duda uno de los principales focos. Si a principios de marzo se publicó Proxylogon, cuatro vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) que encadenadas daban lugar a un RCE sin autenticación previa, a principios de agosto nos topamos con Proxyshell, tres vulnerabilidades (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que nos conseguían lo propio, otro bonito RCE.

Serie de ataques a MS Exchange descubiertos por Orange:

Pues bien, hoy traemos ProxyToken descubierta por Le Xuan Tuyen de VNPT ISC en marzo de 2021 y solucionada por Microsoft en los parches acumulativos de julio, esta vez una sola vulnerabilidad con CVE-2021-33766 y por la que “un atacante no autenticado puede realizar acciones de configuración en los buzones de correo que pertenecen a usuarios arbitrarios”. Y lo peor, su explotación es trivial.

Microsoft Exchange crea dos sitios en IIS:

  • Uno es el sitio web predeterminado, que escucha en los puertos 80 para HTTP y 443 para HTTPS. Este es el sitio al que se conectan todos los clientes para acceder a la web (OWA, ECP) y para servicios web externos. Es decir, es el front-end.
  • El otro sitio se llama “Exchange Back End” y escucha en los puertos 81 para HTTP y 444 para HTTPS.

El sitio web de front-end es principalmente un proxy para el back-end. Para permitir el acceso que requiere autenticación de formularios, la interfaz sirve páginas como /owa/auth/logon.aspx. Para todas las solicitudes posteriores a la autenticación, la función principal del front-end es volver a empaquetar las solicitudes y enviarlas a los end-points correspondientes en el back-end. Luego, recopila las respuestas de dicho back-end y las reenvía al cliente.

Sigue este link para algunos ejemplos específicos.
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

FUENTE: https://threatpost.com/microsoft-exchange-proxytoken-email/169030/
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

¿Que es un Firewall as a service (FWaaS) ?

El Firewall as a Services o Firewall como servicio “FWaaS“, se construye y se ofrece desde la nube. Cuando un dispositivo o una aplicación se conecta a un servicio FWaaS a través de Internet, automáticamente se le aplican reglas de dominio, filtrado URL y otras medidas de seguridad que habitualmente utilizan los cortafuegos físicos, configurándose en este sentido en función de las necesidades.

El objetivo, es que gracias a este servicio de seguridad, las compañías puedan dejar de depender de hardware que, en un momento determinado puede quedar obsoleto, reducir la inversión inicial en tecnologías de seguridad y facilitar la extensión del firewall a todo tipo de ubicaciones.

Entonces, un usuario o una aplicación se conecta al FWaaS a través de Internet y el servicio aplica reglas de dominio, filtrado URL y otras medidas de seguridad que utilizan los dispositivos de firewall físicos. La idea es reemplazar la multitud de firewalls de hardware que necesitaría para proteger todo el tráfico de la empresa desde todos los diferentes sitios operativos con conexiones seguras de Internet al servicio.

¿Es mejor un FWaaS que un Firewall tradicional?
En realidad, salvo el componente cloud, en poco se diferencia un FWaaS con respecto de ese firewall físico que podamos instalar en nuestro DC, de hecho, que el FWaaS haya crecido en popularidad no ha impactado demasiado en la venta de dispositivos dedicados y especialmente en empresas de tamaño medio que no suelen contar con muchas ubicaciones, estos dispositivos siguen siendo una apuesta segura.

En algunos aspectos sigue siendo más interesante apostar por una inversión inicial, pero, a causa de la longevidad de los FW tradicionales se va diluyendo rápidamente con el paso del tiempo, al de un servicio que vamos a tener que seguir pagando mes a mes. Por otro lado, al ser dispositivos on-premises, pueden prometernos una latencia inferior a la que vamos a encontrar en la nube.

Dicho esto y tal y como hemos dicho anteriormente, la dispersión de los trabajadores ha provocado que, en los últimos meses, la adopción de servicios del tipo FWaaS no paren de crecer. Hablamos de Firewall que virtualmente pueden proteger cualquier tipo de conexión, desde cualquier ubicación remota.

En este sentido y tal y como apunta Gartner, de mantenerse la actual tendencia de teletrabajo, el mercado del FWaaS podría crecer desde los 251 millones de dólares actuales, hasta los 2.600 millones de dólares para el año 2025. Eso daría a FWaaS una cuota del 21% del mercado, en menos de cinco años.

¿Cómo funciona FWaaS exactamente?
Es conceptualmente bastante simple: hace precisamente las mismas cosas que hace un firewall local, simplemente las hace de forma remota, ya sea desde un punto de presencia físico en un centro de datos en algún lugar o en la nube. La ubicación precisa de donde ocurre la carga de trabajo del firewall varía según el proveedor.

También vale la pena señalar que los proveedores de redes a menudo incluyen FWaaS con SD-WAN o simplemente se usa en conjunto con otra oferta de SD-WAN. Se convierte en otra conexión que la SD-WAN administra y proporciona protección de firewall administrada de forma centralizada.

¿Cómo se despliega?
Es considerablemente más fácil que implementar una cantidad sustancial de dispositivos de hardware en numerosas sucursales, pero tampoco es lo más simple del mundo, según Adam Hils, director senior de investigación de Gartner.

“Las organizaciones deben obtener algún tipo de comprensión de qué tipo de acceso necesitan en cada sucursal y configurar el firewall”…. “Esto puede implicar múltiples configuraciones, pero, de nuevo, no es tan complejo como colocar miles de firewalls físicos en una red y tener que configurarlos”.

Adam Hils, director senior de investigación de Gartner.

¿Los firewalls en la nube y FWaaS son lo mismo?
El firewall en la nube es un término de marketing y, según el gerente de investigación de IDC, Chris Rodríguez, no es particularmente útil. “Yo advierto contra el firewall en la nube porque es confuso. ¿Es un firewall en la nube o un firewall que protege una red en la nube?” dijo. Entonces, la respuesta corta es firewall en la nube y FWaaS no son necesariamente lo mismo.

¿Cuáles son las desventajas de FWaaS?
Desde el punto de vista de opex, FWaaS puede ser costoso y no se vuelve más barato con el tiempo como lo haría un grupo de firewalls físicos. Por otro lado, existe el problema de los pequeños retrasos en la transmisión y latencia a medida que el tráfico se filtra a través del FWaaS.

“Puede haber cierta latencia porque tienes que enviar el tráfico de usuarios a través de esa nube y hacia donde sea que se dirija”, si, por ejemplo, el punto de presencia más cercano de un proveedor de FWaaS está inactivo, los tiempos de ida y vuelta para las conexiones que usaban ese punto serían sustancialmente más largos.

dijo Hils

¿Qué pasará con los dispositivos de firewall tradicionales?
Posiblemente nada. Los firewall físicos siguen siendo bastante populares, especialmente para empresas sin muchas ubicaciones diferentes y sin muchos trabajadores remotos. Incluso tienen algunas ventajas sobre FWaaS, como diferentes perfiles de costos. Los firewalls locales son un gasto de capital inicial, pero tienden a ser más baratos con el tiempo. También tienen menor latencia.

¿Por qué los FWaaS cobran relevancia ahora?
La pandemia y el aumento concomitante del trabajo remoto dificultaron las cosas para las empresas que necesitaban que las conexiones de sus empleados estuvieran protegidas en todo momento. FWaaS puede proteger las conexiones provenientes de cualquier lugar, desde una sucursal o incluso desde el estudio de un trabajador remoto.

Gartner estima que los FWaaS pasaran de una industria de U$S 251 millones a aproximadamente U$S 2.6 mil millones para 2025, suponiendo que continúen las tendencias actuales de trabajo remoto. Eso le daría a FWaaS una participación del 21% del mercado de firewall de aproximadamente U$S 12 mil millones en menos de cinco años. La mayor parte del crecimiento más rápido se ha producido en América del Norte y Europa.

FUENTE: https://www.networkworld.com/article/3631055/what-is-firewall-as-a-service.html?nsdr=true