La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte que ha observado que actores de amenazas aprovechan cookies persistentes no cifradas administradas por el m\u00f3dulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconocimientos de las redes objetivo.<\/p>\n
Dijo que el m\u00f3dulo se est\u00e1 utilizando para enumerar otros dispositivos de la red que no tienen acceso a Internet. La agencia, sin embargo, no revel\u00f3 qui\u00e9n est\u00e1 detr\u00e1s de la actividad ni cu\u00e1les son los objetivos finales de la campa\u00f1a.<\/p>\n
“Un actor cibern\u00e9tico malicioso podr\u00eda aprovechar la informaci\u00f3n recopilada a partir de cookies persistentes no cifradas para inferir o identificar recursos de red adicionales y potencialmente explotar vulnerabilidades encontradas en otros dispositivos presentes en la red”, CISA dicho<\/a> en un aviso.<\/p>\n Tambi\u00e9n ha recomendado a las organizaciones cifrar las cookies persistentes empleadas en los dispositivos F5 BIG-IP mediante configurar el cifrado de cookies<\/a> dentro del perfil HTTP. Adem\u00e1s, insta a los usuarios a verificar la protecci\u00f3n de sus sistemas ejecutando una utilidad de diagn\u00f3stico proporcionada por F5 llamada BIG-IP iSalud<\/a> para identificar posibles problemas.<\/p>\n “El componente BIG-IP iHealth Diagnostics del sistema BIG-IP iHealth eval\u00faa los registros, la salida de comandos y la configuraci\u00f3n de su sistema BIG-IP compar\u00e1ndolos con una base de datos de problemas conocidos, errores comunes y las mejores pr\u00e1cticas publicadas por F5”, se\u00f1ala F5 en un documento de soporte.<\/p>\n “Los resultados priorizados brindan comentarios personalizados sobre problemas de configuraci\u00f3n o defectos de c\u00f3digo y brindan una descripci\u00f3n del problema, [and] recomendaciones para la resoluci\u00f3n.”<\/p>\n La divulgaci\u00f3n se produce cuando las agencias de ciberseguridad del Reino Unido y los EE. UU. publicaron un bolet\u00edn conjunto que detalla los intentos de los actores patrocinados por el estado ruso de apuntar a los sectores diplom\u00e1tico, de defensa, tecnol\u00f3gico y financiero para recopilar inteligencia extranjera y permitir futuras operaciones cibern\u00e9ticas.<\/p>\n La actividad se ha atribuido a un actor de amenazas rastreado como APT29, que tambi\u00e9n se conoce como BlueBravo, Cloaked Ursa, Cozy Bear y Midnight Blizzard. Se entiende que APT29 es un engranaje clave en la m\u00e1quina de inteligencia militar rusa y est\u00e1 afiliado al Servicio de Inteligencia Exterior (SVR). <\/p>\n “Las ciberintrusiones SVR incluyen un gran enfoque en permanecer an\u00f3nimos y sin ser detectados. Los actores utilizan TOR ampliamente durante las intrusiones, desde el objetivo inicial hasta la recopilaci\u00f3n de datos, y en toda la infraestructura de red”, afirman las agencias. dicho<\/a>.<\/p>\n “Los actores alquilan infraestructura operativa utilizando una variedad de identidades falsas y cuentas de correo electr\u00f3nico de baja reputaci\u00f3n. El SVR obtiene infraestructura de revendedores de los principales proveedores de alojamiento”.<\/p>\n Los ataques montados por APT29 se han clasificado como aquellos dise\u00f1ados para recopilar inteligencia y establecer un acceso persistente para facilitar los compromisos de la cadena de suministro (es decir, objetivos intencionales), as\u00ed como aquellos que les permiten albergar infraestructura maliciosa o realizar operaciones de seguimiento desde cuentas comprometidas aprovechando fallas p\u00fablicamente conocidas, credenciales d\u00e9biles u otras configuraciones err\u00f3neas (es decir, objetivos de oportunidad).<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/CISA-advierte-sobre-actores-de-amenazas-que-explotan-las-cookies.png\")
<\/a><\/center><\/div>\n