Una contraseña débil por defecto deja vulnerables a los clientes de LogicMonitor

Un viejo y conocido fallo en el mundo de las Tecnologías de la Información (TI), el uso de contraseñas por defecto, se cobró a finales de agosto otro grupo de víctimas: los clientes de LogicMonitor, proveedor de soluciones de observabilidad de infraestructuras TI.

Según TechCrunch, uno de los clientes afectados informó de que anteriormente, al configurar una cuenta de LogicMonitor, se establecía una contraseña débil y estandarizada para todas las cuentas de usuario de la organización. Estas contraseñas no eran temporales, ya que no era necesario realizar cambios posteriores. Ahora, la contraseña de configuración dura 30 días y debe cambiarse en el primer inicio de sesión.

El sitio web TechCrunch también hablaba de un cliente que recibió un correo electrónico de LogicMonitor en el que se informaba de un posible fallo en el inicio de sesión/contraseña del usuario que podría hacer que los sistemas supervisados por LogicMonitor sufrieran ataques de ransomware. Una de las fuentes afirmó tener conocimiento de una empresa que perdió más de 400 sistemas debido a un ataque de ransomware que aprovechó contraseñas débiles estandarizadas.

Aunque LogicMonitor no ha confirmado los ataques de ransomware a clientes, fuentes anónimas también declararon al sitio web BleepingComputer que los hackers “entraron en las cuentas y pudieron crear usuarios locales y desplegar el ransomware”. Las mismas fuentes explicaron que el ransomware se desplegó utilizando sensores LogicMonitor Collector que supervisan las infraestructuras de los usuarios, pero que también tienen funciones de scripting.

LogicMonitor definió el caso como “un incidente de seguridad” que afectó a un pequeño número de clientes y ya había tomado medidas para mitigar el impacto.

Días antes de que el incidente saliera a la luz en la prensa, LogicMonitor anunció en su página web que estaba investigando anomalías técnicas que podrían estar afectando a las cuentas de sus clientes, ya que un grupo de usuarios ubicados en las regiones este y oeste de Estados Unidos y oeste de la Unión Europea habían perdido el acceso a sus portales. Posteriormente informó de que los portales de los clientes afectados habían sido restablecidos y que estaba trabajando en la restauración de los datos de las series temporales. En un informe posterior, afirmó que el problema se había resuelto.

Técnica más utilizada

Las cuentas válidas son la técnica de ataque más común en los ciberataques, representando el 54% de los intentos con éxito, según una investigación de CISA, la Agencia de Ciberseguridad e Infraestructuras de Estados Unidos. Puede tratarse de cuentas de administrador estándar o de antiguos empleados que no han sido eliminadas. Cuando no se cambian las contraseñas por defecto, los actores maliciosos pueden instalar y ejecutar código a su antojo. La siguiente figura muestra el proceso de ejecución de una cuenta válida.

CISA advierte de que obtener acceso a la red de una organización es sólo el primer paso en un ataque con éxito. Los actores maliciosos pueden utilizar posteriormente otras técnicas, como la escalada de privilegios, para robar datos. Por tanto, impedir el primer acceso debe ser el principal objetivo de los procesos de protección de activos y datos de la red.

Compartir y reutilizar contraseñas Compartir contraseñas también se ha convertido en un hábito común entre los usuarios de la mayoría de las empresas. Esto se debe en parte a que muchos equipos sólo disponen de una o dos licencias para un software o servicio, cuyas contraseñas deben compartirse. Puede ser una práctica necesaria, pero debe ser segura y estar cifrada, explica un estudio de LastPass.

Además, la reutilización de contraseñas sigue siendo un problema generalizado. El informe de LastPass muestra que, de media, una contraseña se reutiliza 13 veces, señalando que reutilizar contraseñas no es tan malo. La cuestión es que cuando se roba una contraseña utilizada en varias cuentas, el daño puede multiplicarse.

¿Y las contraseñas débiles?

Aunque parezca mentira, el 88% de las contraseñas explotadas en ataques con éxito tenían 12 caracteres o menos y términos básicos como “password”, “admin”, “welcome” y “p@ssw0rd”. Las contraseñas con sólo letras minúsculas fueron la combinación más común de caracteres, representando el 18,8% de las utilizadas en los ataques, según el informe anual de Specops Software sobre contraseñas débiles, que analizó más de 800 millones de contraseñas violadas.

Otro dato sorprendente proviene del hecho de que el 83% de las contraseñas comprometidas cumplían los requisitos de longitud y complejidad de las normas de ciberseguridad, incluidas las de NIST, PCI, ICO para GDPR (normas de protección de datos), HITRUST  para HIPAA (datos de pacientes) y Cyber Essentials para NCSC.

“Esto demuestra que, aunque las organizaciones se esfuerzan por seguir las mejores prácticas y normas, es necesario hacer más para garantizar que las contraseñas sean seguras y únicas. Con la sofisticación de los ataques basados en contraseñas, se necesitan medidas de seguridad adicionales para proteger el acceso a datos confidenciales”, afirma Darren James, director de producto de Specops Software.