Imagen:
A raíz del incidente de Oldsmar, donde un atacante no identificado obtuvo acceso a la red de una planta de tratamiento de agua y modificó dosis de productos químicos a niveles peligrosos, el FBI envió una alerta el martes, llamando la atención sobre tres problemas de seguridad que se han observado en el la red de la planta tras el ataque de la semana pasada.
La alerta, llamada Notificación de la Industria Privada, o PIN del FBI, advierte sobre el uso de sistemas Windows 7 desactualizados, contraseñas deficientes y el software para compartir escritorio TeamViewer, instando a las empresas privadas y a las organizaciones federales y gubernamentales a revisar las redes internas y el acceso. políticas en consecuencia.
TeamViewer considerado el punto de entrada
El PIN del FBI nombra específicamente a TeamViewer como un software para compartir escritorio a tener en cuenta después de que se confirmó que la aplicación era el punto de entrada del atacante a la red de la planta de tratamiento de agua de Oldsmar.
Según un informe de Reuters, los funcionarios dijeron que el intruso se conectó a una computadora en la red de la planta de tratamiento de agua de Oldsmar a través de TeamViewer en dos ocasiones el viernes pasado.
En el segundo, el atacante tomó activamente el control del mouse del operador, lo movió en la pantalla e hizo cambios en los niveles de hidróxido de sodio (lejía) que se agregaban al agua potable.
Si bien el operador revirtió los cambios realizados por el hacker casi de inmediato, el incidente se convirtió instantáneamente en un punto de discordia y discusión entre los profesionales de la seguridad.
Uno de los puntos más comunes que surgieron en las discusiones en línea fue el uso de la aplicación TeamViewer para acceder a recursos en la infraestructura crítica de EE. UU.
En un informe de Placa base publicado el martes, varios expertos en seguridad de renombre criticaron a las empresas y trabajadores que suelen utilizar el software para el trabajo remoto, calificándolo de inseguro e inadecuado para gestionar recursos sensibles.
Si bien la alerta de PIN del FBI no adopta un tono o postura crítica contra TeamViewer, al FBI le gustaría que las organizaciones federales y del sector privado tomen nota de la aplicación.
“Más allá de sus usos legítimos, TeamViewer permite a los ciberactores ejercer control remoto sobre los sistemas informáticos y colocar archivos en los ordenadores de las víctimas, haciéndolo funcionalmente similar a los troyanos de acceso remoto (RAT)”, dijo el FBI.
“Sin embargo, el uso legítimo de TeamViewer hace que la actividad anómala sea menos sospechosa para los usuarios finales y administradores de sistemas en comparación con las RAT típicas.
La alerta del FBI no indica específicamente a las organizaciones que desinstalen TeamViewer o cualquier otro tipo de software para compartir escritorio, pero advierte que se puede abusar de TeamViewer y otro software similar si los atacantes obtienen acceso a las credenciales de las cuentas de los empleados o si las cuentas de acceso remoto (como las utilizadas para El acceso RDP de Windows) están protegidos con contraseñas débiles.
El FBI advierte sobre el uso de Windows 7… otra vez
Además, la alerta del FBI también advierte sobre el uso continuado de Windows 7, un sistema operativo que llegó al final de su vida útil el año pasado, el 14 de enero de 2020, un tema sobre el que el FBI también advirtió a las empresas estadounidenses el año pasado.
Esta parte de la advertencia se incluyó porque la planta de tratamiento de agua de Oldsmar todavía usaba sistemas Windows 7 en su red, según un informe del gobierno de Massachusetts.
Si bien no hay evidencia que sugiera que los atacantes abusaron de errores específicos de Windows 7, el FBI dice que continuar usando el antiguo sistema operativo es peligroso ya que el sistema operativo no es compatible y no recibe actualizaciones de seguridad, lo que actualmente deja a muchos sistemas expuestos a ataques a través de vulnerabilidades recién descubiertas.
Sin embargo, un informe de Cyberscoop publicado hoy destaca el hecho de que la planta de Oldsmar, junto con muchas otras instalaciones de tratamiento de agua de EE. UU., a menudo carecen de fondos y personal suficientes.
Si bien el FBI advierte contra el uso de Windows 7 por buenas razones, es posible que muchas empresas y agencias federales y estatales de EE. UU. no puedan hacer nada al respecto, salvo que la alta dirección realice una inversión financiera importante para modernizar la infraestructura de TI, algo que no se espera en ningún momento. pronto en muchos lugares.
En estos casos, el FBI recomienda una serie de mejores prácticas básicas de seguridad como forma intermedia para mitigar las amenazas, tales como:
Utilice autenticación multifactor; Utilice contraseñas seguras para proteger las credenciales del Protocolo de escritorio remoto (RDP); Asegúrese de que los antivirus, los filtros de spam y los cortafuegos estén actualizados, configurados correctamente y sean seguros; Audite las configuraciones de red y aísle los sistemas informáticos que no se pueden actualizar ;Audite su red para detectar sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique autenticación de dos factores siempre que sea posible y registre los intentos de inicio de sesión de RDP;Audite los registros para todos los protocolos de conexión remota;Capacite a los usuarios para identificar e informar intentos de ingeniería social;Identificar y suspender acceso de usuarios que exhiben actividad inusual; mantener el software actualizado.