Kaspersky investiga ataques a sistemas de control industrial
Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida contra sistemas de control industrial (ICS) de empresas de telecomunicaciones y del sector industrial.
De acuerdo con los investigadores, la mayoría de los incidentes analizados, tuvieron como vector de entrada la explotación de la vulnerabilidad catalogada como CVE-2021-26855, que afecta a los servidores de Microsoft Exchange y que permite la ejecución de código remoto.
El inicio de esta campaña se remonta a octubre de 2021 y, desde entonces, se ha valido de la puerta trasera conocida como ShadowPad, que se camuflaba como un DLL legítimo para poder ser ejecutado en el equipo infectado. Una vez infectado el sistema, los actores amenaza inyectan en remoto balizas de Cobalt Strike y consiguen hacerse con el control de los sistemas de automatización de un edificio, incluida la electricidad, control de incendios o seguridad, entre otros.
Una vez tiene el control de estos sistemas, se redistribuye por la red interna a través de una cuenta cuyas credenciales han robado, consiguiendo así acceder a más servicios internos y de mayor interés como información confidencial. Por el momento, los objetivos finales de los atacantes siguen siendo desconocidos, aunque se cree que puedan estar recopilando información.
* * *
Descubierta una puerta trasera dirigida a gobiernos y organizaciones de todo el mundo
Investigadores de seguridad de Kaspersky han revelado que agentes amenaza habrían estado utilizando un malware, al que han denominado SessionManager, descubierto en servidores de Microsoft Exchange pertenecientes a organizaciones gubernamentales y militares de Europa, Oriente Medio, Asia y África.
SessionManager es un módulo malicioso de código nativo para el servidor IIS (Internet Information Services) de Microsoft y que los investigadores descubrieron mientras continuaban buscando puertas traseras IIS similares a Owowa, otro módulo IIS malicioso desplegado por los atacantes en los servidores Microsoft Exchange Outlook Web Access desde finales de 2020 para robar credenciales de Exchange.
El backdoor SessionManager permite a los actores amenaza mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso a la infraestructura de TI de una organización objetivo y obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa.
Debido a la similitud de las víctimas y al uso de una variante común de OwlProxy, los investigadores creen que el módulo IIS malicioso puede haber sido aprovechado por el actor amenaza Gelsemium, como parte de una operación de espionaje mundial.
* * *
Zero-day en dispositivos Mitel utilizado para ataque de ransomware
Investigadores de CrowdStrike han analizado un incidente en el que actores maliciosos habrían utilizado un exploit que aprovecha una vulnerabilidad zero-day, que afecta a dispositivos de VoIP Mitel MiVoice, para distribuir ransomware.
En concreto, el fallo de seguridad, ahora identificado CVE-2022-29499 y con un CVSSv3 de 9.8, se debe a un error en la validación de datos cuando se realiza un script de diagnóstico, lo que permite a atacantes remotos no autenticados inyectar comandos mediante solicitudes especialmente diseñadas.
Asimismo, cabe indicar que la vulnerabilidad se encuentra en el componente Mitel Service Appliance de MiVoice Connect, utilizado en SA 100, SA 400 y Virtual SA, lo que posibilita a un atacante realizar la ejecución remota de código. Aunque no se ha publicado ningún parche oficial, Mitel lo abordó el 19 de abril de 2022, difundiendo un script de corrección para las versiones 19.2 SP3 de MiVoice Connect y R14.x y anteriores.
Debido a este incidente, los investigadores estiman que es probable que se produzcan más distribuciones de ransomware utilizando este vector de entrada, por ello recomiendan que se apliquen las correcciones.
* * *
Más de 900.000 instancias de Kubernetes están expuestas en internet
Investigadores de Cyble han realizado un análisis para localizar instancias de Kubernetes expuestas en internet, empleando herramientas de escaneo y consultas de búsquedas similares a las utilizadas por los operadores maliciosos.
De este análisis, se han detectado más de 900.000 servidores de Kubernetes expuestos, aunque no necesariamente todas estas instancias expuestas sean vulnerables a ataques o expongan datos sensibles. De los servidores, los puertos TCP con mayor exposición son el “443” con un poco más de un millón de instancias, seguidos del puerto “10250” y del “6443” respectivamente.
Según Cyble, la gran mayoría de las instancias expuestas devuelven el código error 403, indicando que la solicitud no autenticada está prohibida y no pueden producirse ataques contra estas.
No obstante, han detectado un pequeño subconjunto de 799 instancias que devuelven un código de estado 200, que es completamente accesible a los atacantes externos.
Aunque, el número de servidores vulnerables es bastante bajo, solo es necesario que se descubra una vulnerabilidad explotable de forma remota para que un número mucho mayor de dispositivos sean vulnerables a estos ataques.
* * *
FabricScape: vulnerabilidad en Microsoft Service Fabric
Investigadores de Unit 42 de Palo Alto han informado del descubrimiento de una vulnerabilidad en Microsoft Azure Service Fabric que afectaría a contenedores en el cluster de Linux.
El fallo, CVE-2022-30137 CVSSv3 7.6, fue descubierto y comunicado a la compañía a principios de 2022, y afecta a esta herramienta, ampliamente utilizada para alojar más de un millón de aplicaciones, algunas de ellas de suma importancia.
La vulnerabilidad ha sido denominada FabricScape y se debe a un fallo de escritura arbitraria por condición de carrera en el componente Data Collection Agent (DCA), ejecutado como root en Service Fabric.
Esto permitiría a un atacante elevar sus privilegios a root, hacerse con el control del nodo host y comprometer todo el cluster de Linux de Service Fabric. La vulnerabilidad quedó resuelta con el parche de junio para Microsoft Azure Service Fabric 9.0 para todos aquellos usuarios que tengan activas las actualizaciones automáticas. En caso de no tener esta función activa, se recomienda actualizar manualmente a la versión de Service Fabric más reciente.
The post Boletín semanal de ciberseguridad, 25 de junio — 1 de julio appeared first on Think Big.