Explotadas dos vulnerabilidades 0-day en Microsoft Exchange
El equipo de ciberseguridad vietnamita GTSC informó hace tres semanas, a través Zero Day Initiative (ZDI), de dos vulnerabilidades 0-day en Microsoft Exchange que estarían siendo activamente explotadas por actores amenaza.
Encadenar ambos fallos de seguridad permitirían a un atacante la ejecución remota de código (RCE) en los sistemas comprometidos. Registrados como CVE-2022-41040 y CVE-2022-41082, la primera vulnerabilidad consiste en una falsificación de solicitud del lado del servidor (SSRF) permitiendo a un atacante autenticado activar y explotar de forma remota la segunda vulnerabilidad.
Según los investigadores se han detectado campañas activas donde se hace uso del par de 0-days para la implementación del popular web shell, China Chopper, en servidores vulnerables.
Una vez comprometido el sistema y obtenida la persistencia, el script malicioso recopilará información y se moverá de forma lateral hacia otros sistemas de las redes de sus víctimas.
Por el momento Microsoft recomienda valorar la implementación de una mitigación temporal que bloquearía intentos de ataque al agregar una nueva regla en IIS mediante el módulo URL Rewrite Rule.
Más info ⇾
* * *
Vulnerabilidad crítica en Sophos Firewall explotada activamente
Sophos ha reportado el hallazgo de una vulnerabilidad crítica que afecta al Portal de usuario y Webadmin de Sophos Firewall y que permitiría a un atacante la ejecución remota de código (RCE).
El fallo de seguridad, catalogado como CVE-2022-3236 con CVSS de 9.8, estaría siendo utilizado en campañas que principalmente afectan a organizaciones de la región sur de Asia, las cuales ya han sido informadas según comunicó la compañía.
Desde Sophos se ha lanzado correcciones para afrontar esta vulnerabilidad que afecta a las versiones de Sophos Firewall v19.0 MR1 (19.0.1) y anteriores. Por defecto el Firewall de Sophos aplica las nuevas versiones sin necesidad de acción alguna por parte de los clientes, los usuarios sin esta configuración predeterminada habilitada deberán actualizar de forma manual a la nueva versión.
Si no fuese posible aplicarla, la compañía aconseja deshabilitar el acceso WAN al Portal de usuario y Webadmin.
Más info ⇾
* * *
Chaos: malware versátil basado en GO
Investigadores de Black Lotus Labs han lanzado un comunicado con información sobre el malware Chaos, una nueva botnet multifuncional basada en GO que está experimentando una rápida expansión en los últimos meses.
Detectada por primera vez en abril, Chaos está desarrollado para dispositivos Windows y Linux, con capacidad para infectar varios tipos de arquitecturas, tiene funcionalidades para realizar ataques DDoS, criptomineria, establecer persistencia y propagarse automáticamente, ya sea por fuerza bruta sobre claves privadas SSH o utilizando claves SSH robadas. El malware se ha asociado a un actor amenaza chino, dado el lenguaje en el que está escrito y el uso de una infraestructura de command-and-control (C2) basada en China.
Aunque las víctimas de sus ataques suelen ser objetivos europeos, los bots también están siendo distribuidos a través de dispositivos en América y Asia, dirigido a una amplia gama de industrias, así como en dispositivos y sistemas no tan ligados a un ámbito empresarial, como pueden ser routers SOHO, o el sistema operativo FreeBSD.
Más info ⇾
* * *
Nuevo malware en VMware ESXi con capacidades backdoor
El equipo de investigación de Mandiant ha descubierto una nueva familia de malware dirigida a sistemas VMware y destinada a la instalación de múltiples puertas traseras persistentes en los hipervisores ESXi.
Mandiant involucra en su descubrimiento al actor amenaza rastreado como UNC3886, el cual parece haberse centrado en desarrollar e implementar malware sobre sistemas que normalmente no admiten EDR.
Actualmente dirigido a VMware ESXi, servidores Linux vCenter y máquinas virtuales de Windows, el software malicioso detectado permitiría transferir archivos entre hipervisores y máquinas invitadas, modificar los registros y ejecutar comandos arbitrarios entre máquinas virtuales.
Además, permitiría mantener persistencia como administrador en los sistemas infectados gracias a la instalación de los backdoors denominados por los investigadores como VirtualPita y VirtualPie, a través de paquetes de instalación maliciosos de vSphere («VIB»).
Más info ⇾
* * *
WhatsApp corrige vulnerabilidades 0-day críticas
Durante los últimos días se ha conocido que WhatsApp habría corregido dos vulnerabilidades 0-day que afectaban a versiones de Android e iOS y que habrían recibido una calificación CVSS de hasta 9.8, lo que las convertiría en críticas. Ambos fallos, CVE-2022-36934 y CVE-2022-27492, permitirían a los atacantes ejecutar código arbitrario de forma remota.
En el caso de la primera, se trata de una vulnerabilidad de desbordamiento de Integer que permite la ejecución de código mediante una videollamada sin necesidad de interacción por parte del usuario, al aprovecharse de fallos en el código del componente Video Call Handler, y se encuentra presente en versiones de WhatsApp anteriores a la v2.22.16.12.
En cuanto a la segunda, se trata de un fallo de subdesbordamiento de Integer que, por el contrario, sí requiere de interacción del usuario. Para su explotación, el atacante enviará un archivo de vídeo manipulado vía WhatsApp que permitirá la manipulación de componentes de Video Call Handler y provocará fallos adicionales de corrupción de memoria.
Las versiones de WhatsApp afectadas por esta vulnerabilidad son las anteriores a la v2.22.16.2 en Android y v2.22.15.9 en iOS. Por el momento no se conocen intentos activos de explotación de ambos fallos.
Más info ⇾
The post Boletín semanal de ciberseguridad, 24 — 30 de septiembre appeared first on Think Big.