2022 Hackeo a los servidores de correo del Ejercito de varios países
¿Qué ocurrió?!!! ¿Cuál fue la falla? ¿Qué se pudo haber hecho?
Que ocurrió?
En los casos recientes de correo, los ataques fueron diferentes, fueron ataques dirigidos y que se sabía que seguramente serían exitosos, como ocurrió.
Para lograrlo se utilizó una vulnerabilidad de Microsoft Exchange (Aplicación para servidores de correo de Microsoft) documentada para las versiones 2013, 2016 y 2019.
En abril de 2021 Microsoft publicó que había detectado vulnerabilidades en estas versiones de Exchange y al mismo tiempo puso a disposición de los administradores de la plataforma los parches adecuados para eliminar por completo esta vulnerabilidad relacionada con proxyshell.
Con unos sencillos comandos de Shell de Linux, era posible identificar los servidores que no tenían instalados estos parches. Con esto, algunos Hackers publicaron las direcciones IP públicas de varios servidores que no mitigaron este riesgo. Con esto se generaron backdoors en varios servidores y también fueron publicadas estas direcciones en agosto de 2021, había 4400 servidores vulnerables en latinoamerica.
Todo esto es público, y así estuvo desde hace más de un año así con el backdoor expuesto, la entrada al servidor es como tener la llave de la puerta trasera. El resto es historia.
¿Cuál fue la falla?
Falla en la gestión en la administración de los servidores de correo
El incidente se pudo evitar implementando los parches desde hace más de un año o adicionalmente al iniciarse el ataque se pudo haber detectado con herramientas de monitoreo inteligentes como EDR (Endpoint Detection and Response), porque ya con la puerta abierta y con acceso a la base de datos, es inverosímil que, como en el caso de México, hubieran descargado 6 TBs de información sin que se dieran cuenta, es como haber vaciado un departamento en condominio y que la persona de seguridad estuvo dormida y dejo que se llevaran los muebles.
¿Qué se puede hacer para evitar que esto ocurra en nuestras empresas?
Lo más recomendable es realizar periódicamente un checkup de vulnerabilidades que es algo similar a un checkup médico pero a los sistemas de la empresa. Este checkup tiene que ser realizado por especialistas del área de seguridad de TI, especialistas de redes, hackers éticos y de personal certificado en procesos. Esta empresa especializada debe ayudar al área de sistemas a traducir las vulnerabilidades en riesgos con planes de mitigación para que estos sean aplicados y repetir el ejercicio a un mayor nivel cada seis meses o cada año.
Si estás interesado en conocer más de este tipo de servicios, puedes mandar un correo a: