En el panorama en constante evolución de la ciberseguridad, los atacantes siempre buscan vulnerabilidades y exploits dentro de los entornos organizacionales. No se centran únicamente en debilidades concretas; Están buscando combinaciones de exposiciones y métodos de ataque que puedan llevarlos al objetivo deseado.
A pesar de la presencia de numerosas herramientas de seguridad, las organizaciones a menudo tienen que enfrentarse a dos desafíos principales; En primer lugar, estas herramientas con frecuencia carecen de la capacidad de priorizar las amenazas de manera efectiva, lo que deja a los profesionales de seguridad en la ignorancia sobre qué problemas necesitan atención inmediata. En segundo lugar, estas herramientas a menudo no brindan un contexto sobre cómo se combinan los problemas individuales y cómo los atacantes pueden aprovecharlos para acceder a activos críticos. Esta falta de conocimiento puede llevar a las organizaciones a intentar arreglarlo todo o, lo que es más peligroso, a no abordar nada en absoluto.
En este artículo, profundizamos en 7 escenarios de rutas de ataque de la vida real que nuestros expertos internos encontraron mientras utilizaban Plataforma de gestión de exposición de XM Cyber en los entornos híbridos de los clientes a lo largo de 2023. Estos escenarios ofrecen información valiosa sobre la naturaleza dinámica y en constante cambio de las amenazas cibernéticas.
Desde rutas de ataque intrincadas que requieren múltiples pasos hasta rutas alarmantemente sencillas con solo unos pocos pasos, nuestra investigación revela una realidad asombrosa: el 75% de los activos críticos de una organización puede verse comprometido en su actual estado de seguridad. Aún más desconcertante es que el 94% de estos activos críticos pueden verse comprometidos en cuatro pasos o menos desde el punto de infracción inicial. Esta variabilidad subraya la necesidad de contar con las herramientas adecuadas para anticipar y frustrar estas amenazas de manera efectiva.
Ahora, sin más preámbulos, exploremos estas rutas de ataque de la vida real y las lecciones que nos enseñan.
Historia # 1
Cliente: Una gran empresa financiera.
Guión: Llamada rutinaria al cliente.
Ruta de ataque: Explotar transmisiones DHCP v6 para ejecutar un ataque Man-in-the-Middle, comprometiendo potencialmente alrededor de 200 sistemas Linux.
Impacto: Compromiso de numerosos servidores Linux con potencial de filtración de datos o ataques de rescate.
Remediación: Deshabilitar DHCPv6 y parchear sistemas vulnerables, además de educar a los desarrolladores sobre la seguridad de las claves SSH.
En este escenario, una gran empresa financiera enfrentó la amenaza de un ataque Man-in-the-Middle debido a transmisiones DHCP v6 no seguras. El atacante podría haber aprovechado esta vulnerabilidad para comprometer aproximadamente 200 sistemas Linux. Este compromiso podría haber resultado en violaciones de datos, ataques de rescate u otras actividades maliciosas. La solución implicó deshabilitar DHCPv6, aplicar parches a los sistemas vulnerables y mejorar la educación de los desarrolladores sobre la seguridad de las claves SSH.
Historia # 2
Cliente: Una gran empresa de viajes.
Guión: Integración de infraestructura post-fusión.
Ruta de ataque: Servidor descuidado con parches no aplicados, incluidos PrintNightmare y EternalBlue, que potencialmente comprometen activos críticos.
Impacto: Riesgo potencial para activos críticos.
Remediación: Deshabilitar el servidor innecesario, reduciendo el riesgo general.
En este escenario, una gran empresa de viajes, tras una fusión, no pudo aplicar parches críticos en un servidor descuidado. Esta supervisión los dejó vulnerables a vulnerabilidades conocidas como PrintNightmare y EternalBlue, lo que podría poner en peligro activos críticos. Sin embargo, la solución fue relativamente sencilla: desactivar el servidor innecesario para reducir el riesgo general.
Historia # 3
Cliente: Un gran proveedor de atención médica.
Guión: Llamada rutinaria al cliente.
Ruta de ataque: Una ruta de ataque que aprovecha los permisos de grupo de usuarios autenticados para potencialmente otorgar acceso de administrador al dominio.
Impacto: Compromiso total del dominio.
Remediación: Eliminación inmediata de permisos para modificar rutas.
En este escenario, un gran proveedor de atención médica enfrentó la alarmante perspectiva de una ruta de ataque que explotaba los permisos de grupo de usuarios autenticados, otorgando potencialmente acceso de administrador de dominio. Era imperativo actuar con rapidez, lo que implicaba la pronta eliminación de los permisos para modificar rutas.
Historia # 4
Cliente: Una institución financiera global.
Guión: Llamada rutinaria al cliente.
Ruta de ataque: Ruta compleja que involucra cuentas de servicio, puertos SMB, claves SSH y roles de IAM, con potencial para comprometer activos críticos.
Impacto: Potencialmente desastroso si se explota.
Remediación: Eliminación rápida de claves SSH privadas, restablecimiento de permisos de funciones de IAM y eliminación de usuarios.
En este escenario, una institución financiera global enfrentó una ruta de ataque compleja que aprovechó las cuentas de servicio, los puertos SMB, las claves SSH y las funciones de IAM. El potencial de comprometer activos críticos cobraba gran importancia. Era necesaria una solución rápida, que implicaba la eliminación de claves SSH privadas, el restablecimiento de los permisos de las funciones de IAM y la eliminación de usuarios.
Historia # 5
Cliente: Una empresa de transporte público.
Guión: Reunión de incorporación.
Ruta de ataque: Ruta directa desde un servidor DMZ hasta un dominio comprometido, lo que podría provocar un compromiso del controlador de dominio.
Impacto: Posible compromiso de todo el dominio.
Remediación: Restricción de permisos y eliminación de usuarios.
En este escenario, una empresa de transporte público descubrió una ruta directa desde un servidor DMZ hasta el dominio comprometido, lo que en última instancia podría haber llevado al compromiso de todo el dominio. La remediación inmediata era crucial, lo que implicaba la restricción de permisos y la eliminación de usuarios.
Historia # 6
Cliente: Un hospital con un fuerte enfoque en la seguridad.
Guión: Llamada rutinaria al cliente.
Ruta de ataque: Una mala configuración de Active Directory permite a cualquier usuario autenticado restablecer contraseñas, creando una amplia superficie de ataque.
Impacto: Posibles apropiaciones de cuentas.
Remediación: Fortalecimiento de la seguridad del directorio activo y un plan de remediación integral.
Este escenario reveló la vulnerabilidad de un hospital debido a una mala configuración de Active Directory. Esta mala configuración permitió que cualquier usuario autenticado restableciera las contraseñas, ampliando significativamente la superficie de ataque. La remediación requirió reforzar la seguridad del directorio activo y la implementación de un plan de remediación integral.
Historia # 7
Cliente: Importante empresa de transporte y logística.
Guión: Llamada rutinaria al cliente.
Ruta de ataque: Una ruta de ataque compleja desde una estación de trabajo a Azure, que potencialmente compromete todo el entorno empresarial.
Impacto: Posible compromiso de todo el entorno empresarial.
Remediación: Ajustes de roles de usuario y solución de problemas.
En este escenario, una importante empresa de transporte y logística descubrió una ruta de ataque intrincada que podría haber permitido a los atacantes comprometer todo el entorno empresarial. La remediación requirió ajustes en los roles de los usuarios y la remediación exhaustiva de los problemas identificados.
La gran comida para llevar
El hilo común en estos escenarios es que cada organización contaba con sólidas medidas de seguridad, se adhirió a las mejores prácticas y creía que entendía sus riesgos. Sin embargo, a menudo veían estos riesgos de forma aislada, creando una falsa sensación de seguridad.
Afortunadamente, estas organizaciones pudieron obtener una comprensión contextual de sus entornos con las herramientas adecuadas. Aprendieron cómo diversos problemas pueden y de hecho se cruzan y, por lo tanto, priorizaron las soluciones necesarias para fortalecer su postura de seguridad y mitigar estas amenazas de manera efectiva.