 |
Varios atacantes están aprovechando fallos de seguridad críticos en Cacti, Realtek e IBM Aspera Faspex en ataques dirigidos a sistemas sin parches. Esto implica el abuso de CVE-2022-46169 (puntuación CVSS: 9,8) y CVE-2021-35394 (puntuación CVSS: 9,8) para entregar MooBot y ShellBot (también conocido como PerlBot), dijo Fortinet FortiGuard Labs en un informe publicado esta semana. |
CVE-2022-46169 se refiere a un fallo crítico de omisión de autenticación e inyección de comandos en servidores Cacti que permite a un usuario no autenticado ejecutar código arbitrario. CVE-2021-35394 también se refiere a una vulnerabilidad de inyección de comandos arbitrarios que afecta al SDK Jungle de Realtek y que fue parcheada en 2021.
Si bien este último ha sido explotado previamente para distribuir botnets como Mirai, Gafgyt, Mozi y RedGoBot, el desarrollo marca la primera vez que se ha utilizado para desplegar MooBot, una variante de Mirai que se sabe que está activa desde 2019.
El fallo Cacti, además de ser aprovechado para ataques MooBot, también se ha observado sirviendo cargas útiles ShellBot desde enero de 2023, cuando el problema salió a la luz.
Se han detectado al menos tres versiones diferentes de ShellBot, a saber, PowerBots (C) GohacK, LiGhT's Modded perlbot v2 y B0tchZ 0.2a, las dos primeras reveladas recientemente por el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC).
Las tres variantes son capaces de orquestar ataques distribuidos de denegación de servicio (DDoS). PowerBots (C) GohacK y B0tchZ 0.2a también cuentan con capacidades de puerta trasera para llevar a cabo cargas/descargas de archivos y lanzar un shell inverso.
"Las víctimas comprometidas pueden ser controladas y utilizadas como bots DDoS tras recibir una orden de un servidor C2", explica Cara Lin, investigadora de Fortinet. "Debido a que MooBot puede matar otros procesos de botnet y también desplegar ataques de fuerza bruta, los administradores deben utilizar contraseñas seguras y cambiarlas periódicamente".
Explotación activa del fallo IBM Aspera Faspex
Una tercera vulnerabilidad de seguridad que ha sido objeto de explotación activa es CVE-2022-47986 (puntuación CVSS: 9,8), un problema crítico de deserialización YAML en la aplicación de intercambio de archivos Aspera Faspex de IBM.
El fallo, corregido en diciembre de 2022 (versión 4.4.2 Parche Nivel 2), ha sido utilizado por los ciberdelincuentes en campañas de ransomware asociadas con Buhti e IceFire desde febrero, poco después de la publicación de la prueba de concepto (PoC).
A principios de esta semana, la empresa de ciberseguridad Rapid7 reveló que uno de sus clientes se había visto afectado por el fallo de seguridad, lo que obligó a los usuarios a aplicar rápidamente las correcciones necesarias para evitar posibles riesgos.
"Dado que se trata de un servicio orientado a Internet y que la vulnerabilidad se ha vinculado a la actividad de grupos de ransomware, recomendamos desconectar el servicio si no se puede instalar un parche de inmediato", declaró la empresa.
Fuente: https://thehackernews.com/2023/04/cacti-realtek-and-ibm-aspera-faspex.html