Se explotan 2 vulnerabilidades con una gravedad de 9.8. aparece un tercero


Se explotan 2 vulnerabilidades con una gravedad de 9.8.  aparece un tercero

imágenes falsas

Los piratas informáticos maliciosos, algunos con el apoyo del gobierno, están explotando activamente dos vulnerabilidades independientes, ambas clasificadas con una gravedad de 9,8 de un máximo de 10, con la esperanza de infectar redes corporativas sensibles con puertas traseras, software de botnet y otras formas de malware.

Los ataques en curso tienen como objetivo versiones sin parches de múltiples líneas de productos VMware y el software BIG-IP de F5, dijeron investigadores de seguridad. Ambas vulnerabilidades permiten a los atacantes ejecutar de forma remota códigos maliciosos o comandos que se ejecutan con todos los privilegios del sistema raíz. Los exploits, en gran medida descoordinados, parecen ser maliciosos, en contraste con los escaneos benignos que intentan identificar servidores vulnerables y cuantificar su número.

Primero: VMware

El 6 de abril, VMware reveló y parchó una vulnerabilidad de ejecución remota de código rastreada como CVE-2022-22954 y un error de escalada de privilegios rastreado como CVE-2022-22960. Según un aviso publicado el miércoles por la Agencia de Seguridad de Infraestructura y Ciberseguridad, «los ciberactores malintencionados pudieron aplicar ingeniería inversa a las actualizaciones para crear un exploit en 48 horas y rápidamente comenzaron a explotar las vulnerabilidades expuestas en dispositivos sin parches».

CISA dijo que los actores probablemente sean parte de una amenaza persistente avanzada, un término para grupos de piratería sofisticados y bien financiados que generalmente están respaldados por un estado-nación. Una vez que los piratas informáticos han comprometido un dispositivo, utilizan su acceso raíz para instalar un shell web llamado Dingo J-spy en las redes de al menos tres organizaciones.

“Según informes de terceros confiables, los actores de amenazas pueden encadenar estas vulnerabilidades. En una organización comprometida, alrededor del 12 de abril de 2022, un actor no autenticado con acceso de red a la interfaz web usó CVE-2022-22954 para ejecutar un comando de shell arbitrario como usuario de VMware”, dice el comunicado del miércoles. «El actor luego explotó CVE-2022-22960 para escalar los privilegios del usuario a root. Con acceso raíz, el actor podría borrar registros, escalar privilegios y cambiar a otros sistemas”.

El investigador de seguridad independiente Troy Mursch dijo en un mensaje directo que los exploits que detectó incluían cargas útiles para software de botnet, webshells y criptomineros. La recomendación de CISA llegó el mismo día en que VMware reveló y parchó dos nuevas vulnerabilidades. Una de las vulnerabilidades, CVE-2022-22972, también tiene una clasificación de gravedad de, lo adivinó, 9.8. El otro, CVE-2022-22973, tiene una calificación de 7.8.

Dados los exploits que ya están en marcha para las vulnerabilidades de VMware reparadas el mes pasado, CISA dijo que «espera que los ciberactores malintencionados desarrollen rápidamente una capacidad para explotar las vulnerabilidades CVE-2022-22972 y CVE-2022-22973 recientemente lanzadas en el mismo VMware afectado». explotar productos.

BIG-IP también bajo fuego

Mientras tanto, las redes corporativas también están bajo el ataque de piratas informáticos que explotan CVE-2022-1388, una vulnerabilidad no relacionada con una gravedad de 9.8 que se encuentra en BIG-IP, un paquete de software de F5. Hace nueve días, la empresa reveló y parchó la vulnerabilidad que los piratas informáticos pueden explotar para ejecutar comandos que se ejecutan con privilegios del sistema raíz. El alcance y la escala de la vulnerabilidad causaron asombro y conmoción en algunos círculos de seguridad, lo que le valió una calificación de gravedad alta.

En cuestión de días, el código de explotación pasó a ser de dominio público y, casi de inmediato, los investigadores informaron sobre intentos de explotación. No estaba claro en ese momento si los blackhats o los whitehats estaban realizando la actividad.

Sin embargo, en los últimos días, los investigadores han capturado miles de solicitudes maliciosas que muestran que una parte importante de los exploits se utilizan con fines nefastos. En un correo electrónico, los investigadores de la firma de seguridad Greynoise escribieron:

Debido a que las solicitudes realizadas con este exploit requieren una solicitud POST y dan como resultado un shell de comando no autenticado en el dispositivo F5 Big-IP, clasificamos a los actores que usan este exploit como maliciosos. Hemos observado a actores que usan este exploit además de conocidos proveedores de VPS de Internet a través de servicios de anonimato como VPN o nodos de salida TOR.

Esperamos que los actores que intentan encontrar dispositivos vulnerables utilicen técnicas no invasivas que no impliquen una solicitud POST ni den como resultado un shell de comando catalogado en nuestra etiqueta F5 Big-IP Crawler: https:// viz.greynoise.io/tag/f5-big-ip-Oruga. Esta etiqueta de rastreador experimentó un aumento en el tráfico relacionado con el lanzamiento de CVE-2022-1388.

Mursch dijo que los exploits BIG-IP intentan instalar el mismo trío de webshells, malware para realizar ataques distribuidos de denegación de servicio y criptomineros vistos en ataques en máquinas VMware sin parches. Por ejemplo, la siguiente imagen muestra un ataque que intenta instalar malware DDoS ampliamente reconocido.

troy mursch

Las siguientes tres imágenes muestran a los piratas informáticos que explotan la vulnerabilidad para ejecutar comandos en busca de claves de cifrado y otros tipos de datos confidenciales almacenados en un servidor comprometido.

troy mursch

troy mursch

troy mursch

Dada la amenaza del ransomware y las campañas de piratería de estados nacionales utilizadas contra los clientes de SolarWinds y Microsoft, el daño potencial de estas vulnerabilidades es significativo. Los administradores deben priorizar la investigación de estas vulnerabilidades en sus redes y actuar en consecuencia. Puede encontrar consejos y orientación de CISA, VMware y F5 aquí,
aquí, aquí y aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.