ClickCease Brecha en la red del Gobierno del Estado de EE.UU.: Se utilizaron los nombres de usuario de ex empleados

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Brecha en la red del Gobierno del Estado de EE.UU.: Se utilizaron los nombres de usuario de ex empleados

Wajahat Raja

26 de febrero de 2024 - Equipo de expertos TuxCare

En una reciente revelación de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)una organización gubernamental estatal fue víctima de una brecha cibernética facilitada por el uso indebido de credenciales de ex empleados. El sitio brecha en la red del gobierno estatal de EE.UU. es un claro recordatorio de la persistente amenaza que supone el acceso desde dentro a la la seguridad de las redes de las administraciones públicas.

Noticias sobre filtraciones en la red de los gobiernos estatales

En filtración de datos del gobierno estatal se produjo cuando la cuenta de administrador de un antiguo empleado fue explotada para infiltrarse en el entorno de red de la organización. Aprovechando esta cuenta comprometida, el autor de la amenaza consiguió entrar a través de un punto de acceso a una red privada virtual (VPN) interna. La intención era camuflarse entre el tráfico legítimo, evadiendo la detección mientras accedía a recursos sensibles.

Causa raíz de la brecha en la red del Gobierno del Estado de EE.UU.

El sitio investigación sobre estadounidense tenía como objetivo descubrir el origen y el alcance del fallo de seguridad. Los investigadores sospechan que las credenciales del exempleado se obtuvieron a través de otra filtración de datos, lo que pone de manifiesto los riesgos asociados a la filtración de la información de la cuenta.

 

La cuenta de administrador comprometida no sólo proporcionaba acceso a un servidor SharePoint virtualizado, sino que también facilitaba la entrada a otras credenciales almacenadas en él, ampliando el riesgo de filtración. incidente de la violación de la red del gobierno del estado de EE.UU.a través de los entornos locales y de Azure Active Directory.

Escalada de privilegios y movimientos laterales

Las últimas noticias sobre brechas en la red de los gobiernos estatales ha suscitado preocupación por las medidas de ciberseguridad. Con privilegios administrativos obtenidos del servidor SharePoint, los atacantes navegaron a través de la infraestructura local de la víctima, ejecutando consultas contra los controladores de dominio. Afortunadamente, no hay pruebas que sugieran un movimiento lateral hacia la infraestructura en la nube de Azure, lo que limita el alcance de la brecha.

Respuesta a las violaciones de las redes gubernamentales

La filtración dio lugar a la exposición de información confidencial de hosts y usuarios, que posteriormente se comercializó en la red oscura para obtener posibles beneficios económicos. En respuesta, la organización tomó medidas inmediatas, restableciendo las contraseñas de los usuarios, desactivando las cuentas comprometidas y revocando los privilegios elevados.

Prevención en la Red del Gobierno Estatal

Este incidente subraya la importancia crítica de la ciberseguridad del gobierno estatal ciberseguridad de los gobiernos estatales, asegurando las cuentas privilegiadas e implementando controles de acceso robustos. La ausencia de autenticación multifactor (MFA) en las cuentas comprometidas subraya la necesidad de capas adicionales de seguridad. La aplicación del principio del mínimo privilegio y la segregación de las cuentas de administrador para entornos locales y en la nube pueden mitigar el riesgo de acceso no autorizado.

Hacer frente a las amenazas internas

El impacto de la violación de la red estatal pone de relieve la creciente tendencia de los actores de amenazas a explotar cuentas válidas, incluidas las de antiguos empleados, para vulnerar las defensas de las organizaciones. La gestión adecuada de las cuentas de Active Directory (AD), incluida la eliminación oportuna de las credenciales de antiguos empleados, es esencial para mitigar las amenazas internas.

Protección de Azure Active Directory

Las medidas estatales contra la violación de la red son cruciales para salvaguardar los datos sensibles y la infraestructura de las ciberamenazas. La configuración predeterminada de Azure Active Directory puede exponer inadvertidamente a las organizaciones a riesgos de seguridad. Permitir a los usuarios un control sin restricciones sobre las aplicaciones y conceder privilegios automáticos de Administrador Global puede facilitar el acceso no autorizado y el movimiento lateral dentro de la red. Las organizaciones deben revisar y ajustar estas configuraciones para minimizar la superficie de ataque.

Conclusión

La violación de la red de una organización gubernamental estatal subraya la persistente amenaza que supone el acceso a información privilegiada y la necesidad crítica de medidas de seguridad robustas. medidas de seguridad sólidas. Aprendiendo de este incidente y aplicando las mejores prácticas en materia de control de acceso y gestión de privilegios, las organizaciones pueden defenderse mejor contra las amenazas internas y salvaguardar los datos y la infraestructura sensibles.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y Cyber Kendra.

Resumen
Brecha en la red del Gobierno del Estado de EE.UU.: Se utilizaron los nombres de usuario de ex empleados
Nombre del artículo
Brecha en la red del Gobierno del Estado de EE.UU.: Se utilizaron los nombres de usuario de ex empleados
Descripción
Descubra cómo las credenciales de un ex empleado condujeron a una brecha en la red del gobierno del estado de EE.UU. Conozca las claves para mejorar la seguridad de las organizaciones.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín