Blog NLT Secure
Quizás lo único positivo que podemos sacar del reciente hackeo al Estado Mayor Conjunto (EMCO) de Chile, que expuso miles de documentos de áreas sensibles de la defensa, son los aprendizajes que podemos obtener de ahí y de todos los Ciberataques de los que hemos sido testigos en los últimos años. Como nadie ha construido un "Manual de Lecciones Aprendidas" de los últimos 5 años de ciberataques, da para pensar su construcción…
Vamos a los hechos y a lo que se cree que puede haber sucedido:
-🚨 #Proxyshell, nombre que se le ha dado a la ejecución de tres vulnerabilidades en la plataforma Microsoft Exchange (CVE-2021-31207, CVE-2021-34523 y CVE-2021-34473) fue "probablemente" la vulnerabilidad utilizada en el ataque, según un video subido a internet por #Guacamaya, grupo hacktivista que se auto adjudicó el ataque.
- 🌐EMCO de las Fuerzas Armadas de Chile, utiliza o utilizaba Microsoft Exchange OnPremise (servidor local), al cual, aparentemente no se aplicaban los parches de seguridad correspondientes a la velocidad requerida o al menos, con un margen de desfase "aceptable".
- ⏳Microsoft publicó los parches referentes a proxyshell entre mayo y julio de 2021, CVE-2021-31207, CVE-2021-34523 y CVE-2021-34473.
Especialistas chilenos coinciden en que el incidente pudo haber ocurrido por medio de ProxyShell, sin embargo, a pesar de que las circunstancias indican proxyshell como vector de ataque, solo se podrá determinar con precisión cuando se finalice el análisis forense. En otras palabras, puede haber sido por medio de proxyshell, o bien, otra(s) vulnerabilidad(es).
- 🧭Más de un año antes, el 12 de agosto de 2021 empezaron las alertas respecto a la explotación masiva de la vulnerabilidad: "La ola de explotación de Exchange ProxyShell ha comenzado" por Kevin Beaumont en Twitter. Y desde entonces mucho se habló del tema.
No podemos hablar antes de tiempo, no antes que la evidencia irrefutable del Análisis Forense. Esperamos que busquen los mejores profesionales para realizar esta labor, con sus resultados deberíamos volver a llenar nuestro "Manual de Lecciones Aprendidas".
En el caso de aplicar parches a un servidor Microsoft Exchange, no es más que apretar un botón, si no se hace, algo anda muy deficiente en la gestión de seguridad de la información.
Estos casos nos sirven para tomar conciencia de que muchos, no estamos haciendo ni siquiera lo básico en ciberseguridad. Detrás de nuestras empresas están familias, sueños y metas a cumplir. ¡Protejámoslos!
Saquemos lo bueno de las malas experiencias, revisemos “El Manual de Lecciones Aprendidas”, qué cosas son las que se hacen mal, para nosotros hacer lo contrario, es la mirada de NLT SECURE Secure by Cerberus Sentinel frente a lo sucedido.
NLT Secure
a CISO Global Company