A empresa de gerenciamento de superfície de ataque Censys identificou centenas de dispositivos residentes em redes federais que possuem interfaces de gerenciamento expostas à Internet.
Durante uma análise de mais de 50 organizações e suborganizações do Poder Executivo Federal Civil (FCEB), Censys descoberto mais de 13.000 hosts distintos em 100 sistemas autônomos.
Um mergulho profundo em um subconjunto de aproximadamente 1.300 desses hosts acessíveis por meio de endereços IPv4 revelou centenas de dispositivos que possuem interfaces de gerenciamento expostas à Internet pública e que se enquadram no escopo da Diretiva Operacional Vinculante (BOD) 23-02 da CISA.
Destinado a ajudar as agências federais a mitigar os riscos associados às interfaces de gerenciamento expostas à Internet, o BOD 23-02 fornece orientação sobre como proteger interfaces acessíveis remotamente, que geralmente são vítimas de ataques mal-intencionados.
De acordo com a CISA, os agentes de ameaças visam classes específicas de dispositivos que suportam infraestruturas de rede, para evitar as detecções. Depois de comprometer esses dispositivos, os invasores geralmente obtêm acesso total a uma rede.
“Segurança inadequada, configurações incorretas e software desatualizado tornam esses dispositivos mais vulneráveis à exploração. O risco é agravado ainda mais se as interfaces de gerenciamento de dispositivos estiverem conectadas diretamente e acessíveis a partir da Internet voltada para o público”, O BOD 23-02 da CISA lê.
Os dispositivos pesquisados pelo Censys incluem pontos de acesso, firewalls, roteadores, VPNs e outros dispositivos de gerenciamento de servidor remoto. A empresa identificou mais de 250 hosts com interfaces expostas que executavam protocolos remotos como SSH e Telnet.
“Entre eles, vários dispositivos de rede Cisco com interfaces expostas do Adaptive Security Device Manager, interfaces de roteador Cradlepoint corporativas expondo detalhes de rede sem fio e muitas soluções populares de firewall, como dispositivos Fortinet Fortiguard e SonicWall”, diz Censys.
Ademais, a empresa identificou protocolos de acesso remoto expostos (FTP, SMB, NetBIOS e SNMP), dispositivos de gerenciamento de servidor remoto fora de banda, ferramentas gerenciadas de transferência de arquivos (incluindo MOVEit, GoAnywhere e SolarWinds Serv-U), serviços HTTP expondo listas de diretórios, servidores de varredura de vulnerabilidade Nessus, dispositivos físicos Barracuda Email Security Gateway e mais de 150 instâncias de software em fim de vida útil.
Sabe-se que as vulnerabilidades em todos eles foram visadas por agentes de ameaças, muitas vezes com consequências terríveis para centenas de organizações, como foi o caso dos ataques SolarWinds, GoAnywhere e MOVEit. Dispositivos vulneráveis Barracuda, Fortinet, SonicWall e Cisco também são alvos frequentes de ataques mal-intencionados.
:
:
