A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está alertando que observou agentes de ameaças aproveitando cookies persistentes não criptografados gerenciados pelo módulo F5 BIG-IP Native Site visitors Supervisor (LTM) para realizar o reconhecimento de redes alvo.
Ele disse que o módulo está sendo usado para enumerar outros dispositivos não voltados para a Web na rede. A agência, porém, não divulgou quem está por trás da atividade, nem quais são os objetivos finais da campanha.
“Um ciberator mal-intencionado poderia aproveitar as informações coletadas de cookies de persistência não criptografados para inferir ou identificar recursos de rede adicionais e potencialmente explorar vulnerabilidades encontradas em outros dispositivos presentes na rede”, disse a CISA em um comunicado.
Também recomendou que as organizações criptografassem cookies persistentes empregados em dispositivos F5 BIG-IP configurando a criptografia de cookies no perfil HTTP. Além disso, incentiva os usuários a verificar a proteção de seus sistemas executando um utilitário de diagnóstico fornecido pela F5, chamado BIG-IP iHealth, para identificar possíveis problemas.
“O componente BIG-IP iHealth Diagnostics do sistema BIG-IP iHealth avalia os logs, a saída de comandos e a configuração do seu sistema BIG-IP em relação a um banco de dados de problemas conhecidos, erros comuns e práticas recomendadas F5 publicadas”, observa F5 em um documento de apoio.
“Os resultados priorizados fornecem suggestions personalizado sobre problemas de configuração ou defeitos de código e fornecem uma descrição do problema e (e) recomendações para resolução.”
A divulgação ocorre no momento em que as agências de segurança cibernética do Reino Unido e dos EUA publicaram um boletim conjunto detalhando as tentativas dos intervenientes patrocinados pelo Estado russo de visar os sectores diplomático, de defesa, tecnológico e financeiro para recolher informações estrangeiras e permitir futuras operações cibernéticas.
A atividade foi atribuída a um ator de ameaça rastreado como APT29, também conhecido como BlueBravo, Cloaked Ursa, Cosy Bear e Midnight Blizzard. O APT29 é considerado uma engrenagem basic na máquina de inteligência militar russa e é afiliado ao Serviço de Inteligência Estrangeiro (SVR).
“As invasões cibernéticas SVR incluem um forte foco em permanecer anônimo e não detectado. Os atores usam TOR extensivamente durante as invasões – desde o direcionamento inicial até a coleta de dados – e em toda a infraestrutura de rede”, disseram as agências.
“Os atores alugam infraestrutura operacional usando uma variedade de identidades falsas e contas de e-mail de baixa reputação. O SVR obtém infraestrutura de revendedores dos principais provedores de hospedagem”.
Os ataques montados pelo APT29 foram categorizados como aqueles concebidos para coletar inteligência e estabelecer acesso persistente, de modo a facilitar comprometimentos da cadeia de suprimentos (ou seja, alvos intencionais), bem como aqueles que lhes permitem hospedar infraestrutura maliciosa ou conduzir operações subsequentes de contas comprometidas, aproveitando-se de falhas conhecidas publicamente, credenciais fracas ou outras configurações incorretas (ou seja, alvos de oportunidade).
Algumas das vulnerabilidades de segurança significativas destacadas incluem CVE-2022-27924, uma falha de injeção de comando no Zimbra Collaboration, e CVE-2023-42793, um bug crítico de desvio de autenticação que permite a execução remota de código no TeamCity Server.
O APT29 é um exemplo relevante de agentes de ameaças que inovam continuamente as suas tácticas, técnicas e procedimentos numa tentativa de se manterem furtivos e contornarem as defesas, chegando mesmo ao ponto de destruir a sua infra-estrutura e apagar qualquer prova caso suspeite que as suas intrusões tenham sido detectadas, seja por a vítima ou a aplicação da lei.
Outra técnica notável é a utilização extensiva de redes proxy, incluindo fornecedores de telefonia móvel ou serviços residenciais de Web, para interagir com vítimas localizadas na América do Norte e misturar-se com o tráfego legítimo.
“Para interromper esta atividade, as organizações devem definir a linha de base dos dispositivos autorizados e aplicar um escrutínio adicional aos sistemas que acessam seus recursos de rede que não aderem à linha de base”, disseram as agências.
