Noticias de Ciberseguridad: Boletín semanal 24-30 de octubre

Vulnerabilidad crítica en Hewlett Packard Enterprise SSMC

La compañía Hewlett Packard Enterprise ha corregido una vulnerabilidad crítica de evasión de autenticación (CVE-2020-7197, CVSS 10.0) que afecta a su software de gestión de almacenamiento StoreServ Management Console (SSMC). HPE SSMC está presente en las plataformas de almacenamiento HPE Primera y HPE 3PAR StoreServ. El fallo ha sido clasificado por la compañía con una criticidad máxima debido a que se trata de una vulnerabilidad de fácil explotación, que no requiere de la interacción del usuario y puede ser aprovechada por un atacante sin privilegios. Además, HPE ha corregido 64 vulnerabilidades que afectan a HPE Intelligent Management Center (iMC). Desde HPE se recomienda encarecidamente actualizar SSMC a la versión 3.7.1.1 o superior.

Información completa: https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbst04045en_us

Botnet KashmirBlack ataca sistemas de gestión de contenidos

Investigadores de seguridad de Imperva, tras analizar la botnet KashmirBlack, han descubierto que estaría infectando miles de sitios web al atacar sus sistemas de gestión de contenidos (CMS). KashmirBlack controla cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos y realizar ataques de fuerza bruta, instalar puertas traseras y ampliar el tamaño de su red. Según los investigadores, el objetivo principal de esta botnet sería infectar sitios web para posteriormente utilizar sus servidores para el minado de criptomonedas o redirigir tráfico legítimo a páginas de spam, entre otros. Para propagarse, KashmirBlack busca sitios web con CMSs como WordPress, Magento o Joomla que ejecuten software vulnerable y utilizan exploits conocidos para explotar estos fallos.

Más información: https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i/

TrickBot amplía su actividad a dispositivos Linux

El pasado 12 de octubre Microsoft informó que un conglomerado de compañías del sector tecnológico habían participado en una acción conjunta con el fin de eliminar la botnet TrickBot. Días después, la compañía de Redmond publicó que el 94% de la infraestructura había sido eliminada, pero alertaban que los agentes amenazas detrás de la botnet volverían a reactivar sus operaciones. A raíz de estos hechos, el equipo de investigadores de Netscout ha compartido nuevos hallazgos en los que señalan que los autores de TrickBot han extrapolado partes de su código a Linux, con el fin ampliar el alcance de sus víctimas. Para ello, utilizan una nueva puerta trasera de TrickBot llamada Anchor, descubierta a finales del año 2019 por investigadores de cybereason, pero que ahora se estaría empleando en dispositivos Linux y cuya función es permitir la comunicación con su Command & Control. Anchor destaca por usar el protocolo DNS para comunicarse con los servidores C2 de manera sigilosa, y cada parte de la comunicación hecha al C2 sigue una secuencia de 3 consultas DNS diferentes, siendo la última la encargada de remitir comandos al bot para ejecutar una carga útil. Según los investigadores, estas características muestran una gran complejidad en lo referido a la comunicación del C2 de Anchor, y además, las cargas útiles que el bot puede ejecutar reflejan una capacidad de innovación constante, como queda evidenciado con su cambio a Linux.

Más detalles: https://www.netscout.com/blog/asert/dropping-anchor

Intentos de explotación de un fallo crítico en Oracle WebLogic

El 20 de octubre, Oracle publicaba su boletín de seguridad en el que se corregía un fallo crítico en los servidores Oracle WebLogic que permitiría la ejecución remota de código sin autenticación, CVE-2020-14882(CVSS 9.8). Poco después de que se hiciese público del código de explotación de esta vulnerabilidad, el Instituto de Tecnología de SANS detectó ataques contra sus honeypots en los que se trataba de explotar este fallo. En estas acciones, los agente amenaza solamente verificaban si el sistema era vulnerable. A raíz de ello, se recomiendan encarecidamente la aplicación de los parches correspondientes para corregir esta vulnerabilidad que afectaría a las siguientes versiones de Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0. Los ataques provenían de 4 direcciones IP – 114.243.211[.]18 (China Unicom), 139.162.33[.]228 (Linode, EE. UU.), 185.225.19[.]240 (MivoCloud, Moldavia) y 84.17.37[.]239 (DataCamp Ltd, Hong Kong) – y según SANS, el exploit que utilizaron estaría basado en las especificaciones técnicas de un post en un blog vietnamita que difundió el miércoles el investigador de seguridad @testanull.

Toda la info: https://isc.sans.edu/diary/26734

Campañas de malware llevan a infección con ransomware

Investigadores de seguridad de FireEye han realizado una publicación en la que recopilan nuevas campañas de familias de malware que funcionan siempre como droppers para finalizar con una infección de ransomware. Una de las características es su metodología de actuación, debido a que los agentes amenaza realizan su ataque a las primeras 24 horas del compromiso inicial. Asimismo, cabe indicar que los diferentes software maliciosos utilizados, como son el caso de Kegtap/Beerbot, Singlemalt/Stillbot y Winekey/Corkbot, usan la misma infraestructura de Command & Control. Los operadores de estas campañas han dirigido por el momento sus ataques a individuos de organizaciones de diferentes sectores y localizaciones geográficas. El vector de entrada de estas campañas se inicia con la remisión de correos electrónicos maliciosos que simulan ser comunicaciones corporativas genéricas y facilitan enlaces a documentos alojados en Google Docs, los cuales incluyen una nueva URL desde donde se descarga el malware. Una vez este se ejecuta en el host de la víctima inicial, los autores se sirven de cargas útiles como Powetrick y/o Cobalt Strike para realizar reconocimientos de red y el host. De esta manera pueden conocer internamente la víctima y facilitar movimientos laterales, escalar privilegios, incluso descargar y ejecutar ransomware como Ryuk.

Info completa: https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.