En octubre, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de los Estados Unidos (CISA) emitió una alerta sobre una amenaza importante que afecta a las organizaciones que utilizan dispositivos F5 BIG-IP. Los actores maliciosos han sido observados explotando cookies persistentes no cifradas gestionadas por el módulo F5 BIG-IP Local Traffic Manager (LTM), lo que les permite realizar un reconocimiento detallado de las redes objetivo.
Tabla de contenidos
Toggle¿Qué es F5 BIG-IP y cómo se utiliza?
F5 BIG-IP es una solución integral que gestiona y asegura el tráfico de red. Es muy popular en entornos empresariales para equilibrar cargas y proteger infraestructuras. Una de las funciones clave del módulo LTM es gestionar las cookies de persistencia, que permiten que las conexiones de los usuarios se mantengan activas durante un tiempo prolongado.
El problema: cookies no cifradas y su explotación
El riesgo detectado radica en que las cookies de persistencia no están cifradas de manera predeterminada. Esto permite que los actores maliciosos capturen estas cookies y las utilicen para identificar dispositivos adicionales que no están conectados a Internet, pero que forman parte de la red de la víctima. Con esta información, los atacantes pueden identificar recursos críticos en la red y potencialmente explotar vulnerabilidades en otros dispositivos.
CISA advierte que esta técnica es una amenaza seria, ya que puede ser utilizada para comprometer completamente una red. Aunque no se ha especificado qué grupos están detrás de esta actividad, es una táctica utilizada comúnmente en campañas de espionaje, como las perpetradas por APT29, un grupo de cibercriminales ruso también conocido como Cozy Bear.
Soluciones y recomendaciones
Ante esta amenaza, CISA ha recomendado encarecidamente a las organizaciones que utilicen F5 BIG-IP que cifren las cookies persistentes configurando la opción de cifrado dentro del perfil HTTP de los dispositivos F5. F5 ha lanzado herramientas como BIG-IP iHealth, que ayuda a diagnosticar posibles problemas de configuración y proporciona sugerencias para la corrección. Esta herramienta evalúa los registros del sistema y compara la configuración con una base de datos de mejores prácticas y vulnerabilidades conocidas, ayudando a identificar cualquier riesgo de seguridad.
Adicionalmente, CISA aconseja ejecutar esta herramienta de diagnóstico de forma regular para garantizar que las cookies de persistencia no estén exponiendo innecesariamente la infraestructura de red. Además de cifrar las cookies, se recomienda mantener el software de todos los dispositivos actualizado y aplicar las actualizaciones de seguridad necesarias para reducir la exposición a estos ataques.
La relación con APT29 y otras amenazas
Este tipo de técnicas es similar a las empleadas por grupos como APT29, que ha estado vinculado a operaciones de espionaje cibernético dirigidas a sectores clave como la defensa, diplomacia y finanzas. APT29, patrocinado por el gobierno ruso, ha sido señalado por utilizar métodos de acceso persistente para recolectar inteligencia y mantener el control sobre redes comprometidas durante largos períodos. El uso de cookies no cifradas para reconocimiento de redes se alinea con su modus operandi de mantener el anonimato y evitar ser detectados.
APT29 utiliza diversas vulnerabilidades de software para penetrar en redes, como ocurrió en el caso de las vulnerabilidades CVE-2022-27924 y CVE-2023-42793, que afectaron a Zimbra Collaboration y TeamCity Server, respectivamente. La capacidad de explotar fallos conocidos junto con credenciales débiles es una de las características principales de sus operaciones, lo que hace crucial que las organizaciones estén atentas a las alertas de seguridad emitidas por agencias como CISA y mantengan todos sus sistemas protegidos.
La importancia de una ciberseguridad proactiva
Las técnicas avanzadas que utilizan actores como APT29 para el reconocimiento de redes y la explotación de vulnerabilidades resaltan la importancia de una ciberseguridad robusta y proactiva. Las empresas deben implementar soluciones preventivas, como el cifrado de cookies, la monitorización constante del tráfico y el endurecimiento de las políticas de acceso a la red.
Para mitigar estos riesgos, las organizaciones también deben basar sus estrategias de ciberseguridad en principios de «defensa en profundidad», lo que implica tener múltiples capas de seguridad que cubran desde la protección del perímetro hasta la respuesta a incidentes. La vigilancia continua es esencial, especialmente frente a adversarios sofisticados como los actores respaldados por estados nacionales, que no sólo buscan datos, sino que también pretenden mantener su presencia dentro de redes comprometidas a largo plazo.
Tendencias y Desafíos en Ciberseguridad
Fortalecimiento del factor humano en ciberseguridad: El ser humano sigue siendo el eslabón más débil en la ciberseguridad, una realidad acentuada por el auge del teletrabajo y la creciente adopción de servicios en la nube. Por ello, es fundamental intensificar la formación en ciberseguridad para los empleados, centrando los esfuerzos en concienciación sobre phishing, ingeniería social y la implementación de autenticación multifactor (MFA), herramientas clave para blindar los sistemas contra accesos no autorizados.
Ciberseguridad en el teletrabajo y la nube: El teletrabajo y el uso masivo de infraestructuras en la nube, como IaaS, PaaS y SaaS, han incrementado las superficies de ataque, lo que requiere estrategias de seguridad más robustas. Soluciones como SD-WAN, Zero Trust y Seguridad como Servicio (SASE) permiten una gestión de riesgos más detallada y flexible, asegurando que únicamente los usuarios y dispositivos autorizados puedan acceder a los recursos críticos de la organización.
Protección de endpoints y redes móviles: Con la proliferación del trabajo remoto, garantizar la seguridad de los dispositivos finales (endpoints) se ha vuelto imprescindible. Los empleados utilizan múltiples dispositivos para acceder a los sistemas corporativos, lo que exige implementar soluciones avanzadas de Prevención de Pérdida de Datos (DLP), cifrado y seguridad móvil. Combinadas con un monitoreo continuo, estas medidas reducen significativamente el riesgo de fugas de información y fortalece la infraestructura.
Copias de seguridad y respuesta ante ransomware: El ransomware sigue siendo una de las amenazas más graves. Para contrarrestarlo, contar con copias de seguridad robustas es esencial, junto con planes de respuesta a incidentes (IR) que minimicen el impacto en caso de un ataque exitoso, reduciendo la pérdida de datos y daños operativos.
Cumplimiento normativo y privacidad de datos: La creciente complejidad de regulaciones como NIS 2 y GDPR obliga a las empresas a adherirse a normativas más rigurosas en cuanto a privacidad y seguridad de los datos. Para garantizar el cumplimiento, es crucial llevar a cabo auditorías periódicas y adoptar prácticas de desarrollo seguro (DevSecOps), asegurando que la seguridad esté integrada en cada fase del ciclo de vida del software.
Inteligencia Artificial para la defensa cibernética: Aunque la Inteligencia Artificial (IA) presenta ciertos riesgos, también es una poderosa herramienta para mejorar la ciberseguridad. Soluciones basadas en IA permiten detectar comportamientos anómalos en la red, anticipar amenazas antes de que se materialicen y automatizar respuestas a incidentes. No obstante, es necesario mitigar los riesgos asociados a la IA, como los ataques adversariales, que pueden comprometer su precisión.
Nuevas Tecnologías y Metodologías Emergentes
Zero Trust y SDN (Software-Defined Networking): El enfoque de Zero Trust ha ganado terreno en el ámbito empresarial, basándose en la premisa de no confiar automáticamente en ningún usuario, sea interno o externo, y controlar el acceso a los recursos mediante políticas estrictas de seguridad. El uso de SDN facilita una gestión centralizada y automatizada de la red, lo que refuerza la seguridad y reduce los tiempos de respuesta ante posibles amenazas.
Seguridad en la nube y SASE: Cada vez más empresas optan por modelos de seguridad basados en la nube como SASE, que combina funciones de red y seguridad en un único servicio. Este enfoque simplifica la protección y facilita el acceso seguro a las aplicaciones y datos corporativos, independientemente de la ubicación de los usuarios.
Autenticación robusta y gestión de identidad (IAM): La implementación de soluciones de Gestión de Identidades y Accesos (IAM) es esencial para asegurar el control sobre quién accede a los recursos y cuándo. Tecnologías como la autenticación multifactor (MFA) y la firma digital añaden capas adicionales de seguridad, reduciendo la probabilidad de robo de credenciales y accesos no autorizados.
Defensa contra ataques DDoS y cifrado avanzado: Los ataques de denegación de servicio distribuido (DDoS) siguen siendo un reto constante. Implementar soluciones específicas para mitigar este tipo de amenazas, junto con el uso de cifrado avanzado, tanto en tránsito como en reposo, ayuda a proteger la confidencialidad y la integridad de los datos.
Análisis forense y pruebas de penetración: Las pruebas de penetración y el análisis forense digital son cruciales para identificar y corregir vulnerabilidades antes de que puedan ser explotadas. Estas prácticas permiten a las organizaciones fortalecer sus defensas y preparar respuestas más efectivas ante incidentes de seguridad.