Boletín semanal de ciberseguridad, 30 julio-5 agosto

Telefónica Tech    5 agosto, 2022
Boletín semanal de ciberseguridad,30 julio-5 agosto

Posible relación entre el malware ​Raspberry Robin y las infecciones de Evil Corp

El equipo de Microsoft Threat Intelligence Center (MSTIC) ha publicado nueva información sobre el malware Raspberry Robin, detectado por primera vez por el equipo de Red Canary en septiembre del pasado año 2021 [1]. El principal método de propagación asociado a esta familia es a través de dispositivos USB infectados, y una de sus características principales es el uso de dispositivos NAS de QNAP como servidores de Command & Control (C2). En su actualización, los expertos de Microsoft habrían descubierto que Raspberry Robin, en fases más avanzadas, está implementando en las redes infectadas el malware FakeUpdates, vinculado tradicionalmente al actor DEV-0206.

Sin embargo, la actividad observada una vez se consigue distribuir FakeUpdates conduce a acciones que tradicionalmente se han ligado a las llevadas a cabo por DEV-0243 (Evil Corp) antes de sus infecciones con ransomware. En cuanto a la afectación, cabe destacar que se advierte de la detección de actividad de este malware en cientos de organizaciones de multitud de sectores.

[1] https://redcanary.com/blog/raspberry-robin/

Más info: https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0206-DEV-0243


Aviso de seguridad crítico de VMware

VMware ha emitido un aviso de seguridad crítico (VMSA-2022-0021) donde informa acerca de diez vulnerabilidades recientemente detectadas y parcheadas. Entre estas, destaca por su criticidad la descubierta por el investigador de VNG Security, Petrus Viet, y catalogada como CVE-2022-31656 con un CVSSv3 de 9.8. Se trata de una vulnerabilidad de omisión de autenticación que afecta a los usuarios del dominio local y que podría permitir a un atacante no autenticado obtener privilegios de administrador. En relación al resto de vulnerabilidades, seis de ellas han sido catalogadas con un riesgo “importante” (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665) y tres con riesgo “moderado” (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), encontrándose entre ellas, fallos de ejecución remota de código, escalada de privilegios y cross-site scripting (XSS), entre otros.

Estos errores afectan a los productos VMware Workspace ONE Access (Access), VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation, y vRealize Suite Lifecycle Manager. Finalmente, cabe destacar que por el momento no se ha detectado su explotación activa, si bien desde VMware instan a implementar los parches lo antes posible. 

Más info: https://www.vmware.com/security/advisories/VMSA-2022-0021.html 


Vulnerabilidades en Apache HTTP Server

Se han descubierto múltiples vulnerabilidades en Apache HTTP Server que afectan a las versiones previas a la 2.4.54. Un atacante remoto podría explotar algunas de estas vulnerabilidades para desencadenar una condición de denegación de servicio, divulgación de información confidencial, cross-site scripting (XSS), o evasión de restricciones de seguridad en el sistema objetivo. De las vulnerabilidades encontradas, destaca la catalogada como CVE-2022-31813 [1] por tener un CVSSv3 de 9,8 y cuya explotación permitiría la evasión de control de autenticación basado en IP al no enviar, bajo ciertas condiciones, cabeceras X-Forwarder-*. Asimismo, señalar que estos fallos afectan a muchos productos que hacen uso del servidor Apache como IBM [2] o F5 [3] y, por ello, se recomienda actualizar Apache HTTP Server lo antes posible siguiendo las instrucciones del proveedor.

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-31813

[2] https://www.ibm.com/support/pages/node/6595149

[3] https://support.f5.com/csp/article/K21192332

Más info: https://httpd.apache.org/security/vulnerabilities_24.html 


Vulnerabilidad de ejecución remota de código en routers DrayTek

El equipo de Trellix Threat Labs ha detectado una importante vulnerabilidad de ejecución remota de código que afectaría a routers del fabricante DrayTek. La explotación de la vulnerabilidad, rastreada como CVE-2022-32548 – CVSSv3 10.0 [1], permitiría la ejecución de ataques que no requieren la interacción del usuario, siempre y cuando la interfaz de administración del dispositivo esté configurada para servicios de red. En caso de éxito, el atacante conseguiría acceder a los recursos internos del dispositivo, comprometerlo por completo, e incluso lanzar ataques dentro de la LAN desde la propia configuración predeterminada del dispositivo. El fallo afecta al modelo Vigor 3910 junto a otros 28 modelos de DrayTek que comparten la misma base de código y ya ha sido debidamente parcheado por la compañía.

Asimismo, Trellix ha publicado un video [2] detallando el proceso de explotación de está vulnerabilidad, por lo que se recomienda no exponer la interfaz de administración a Internet, resetear las contraseñas y actualizar el software de los dispositivos afectados a la última versión. [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548 [2] https://youtu.be/9ZVaj8ETCU8           

Más info: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html


RapperBot: nueva botnet enfocada a sistemas Linux

Investigadores de seguridad de Fortinet han descubierto una nueva botnet, denominada RapperBot, que apunta específicamente a sistemas Linux. Este nuevo malware estaría basado en el código fuente original de la botnet Mirai, pero destaca por disponer de características únicas y poco frecuentes en este tipo de malware, como su propio protocolo de Command & Control (C2). Además, a diferencia de Mirai, RapperBot se centra en el uso de técnicas de fuerza bruta para acceder a servidores SSH en lugar de Telnet, lanzando pruebas sobre listas de credenciales descargadas por el malware desde sus propios recursos. Si logra acceder al servidor, el bot añade una nueva clave SSH y crea una tarea Cron que vuelve a añadir al usuario cada hora en caso de que un administrador descubra la cuenta y la elimine. Por el momento se desconoce cuál puede ser el objetivo principal de RapperBot, ya que sus autores han mantenido sus funciones DDoS limitadas. Sin embargo, la adición de mecanismos de persistencia y de evasión de detección indican que los operadores de la botnet podrían estar interesados en las ventas de acceso inicial a actores de ransomware. ​            

Más info: https://www.fortinet.com/blog/threat-research/rapperbot-malware-discovery


Deja una respuesta

Tu dirección de correo electrónico no será publicada.