Alerta: Ataques a Firewalls de Juniper, Openfire y Apache RocketMQ por Nuevos Exploits

-

Recientemente se han divulgado fallos de seguridad que afectan a los firewalls de Juniper, Openfire y los servidores Apache RocketMQ, los cuales están siendo explotados activamente, según múltiples informes.

La Fundación Shadowserver indicó que está "viendo intentos de explotación desde múltiples IPs para Juniper J-Web CVE-2023-36844 (& amigos) apuntando al endpoint /webauth_operation.php", el mismo día que se hizo disponible una prueba de concepto (PoC).

Los problemas, identificados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 y CVE-2023-36847, residen en el componente J-Web de Junos OS en las series Juniper SRX y EX. Podrían ser encadenados por un atacante no autenticado basado en la red para ejecutar código arbitrario en instalaciones susceptibles.

Se liberaron parches para la falla el 17 de agosto de 2023, una semana después de la cual watchTowr Labs publicó una prueba de concepto (PoC) combinando CVE-2023-36846 y CVE-2023-36845 para ejecutar un archivo PHP que contiene shellcode malicioso.

Actualmente, hay más de 8,200 dispositivos Juniper que tienen sus interfaces J-Web expuestas a Internet, la mayoría de ellos en Corea del Sur, EE. UU., Hong Kong, Indonesia, Turquía e India.

Explotación de Vulnerabilidad en Openfire por Kinsing

Otra vulnerabilidad que ha sido armada por actores de amenazas es CVE-2023-32315, un error de alta gravedad en la consola administrativa de Openfire que podría ser aprovechado para la ejecución remota de código.

"Este defecto permite a un usuario no autorizado explotar el entorno de configuración no autenticado de Openfire dentro de una configuración de Openfire establecida", dijo la firma de seguridad en la nube Aqua.

"Como resultado, un actor de amenazas obtiene acceso a los archivos de configuración del administrador que normalmente están restringidos dentro de la Consola de Administración de Openfire. A continuación, el actor de amenazas puede elegir entre agregar un usuario administrador a la consola o cargar un complemento que eventualmente permitirá el control total sobre el servidor."

Actores de amenazas asociados con el botnet de malware Kinsing han sido observados utilizando la falla para crear un nuevo usuario administrador y cargar un archivo JAR, que contiene un archivo llamado cmd.jsp que actúa como una web shell para soltar y ejecutar el malware y un minero de criptomonedas.

Aqua dijo que encontró 6,419 servidores conectados a Internet con el servicio Openfire en funcionamiento, con la mayoría de las instancias ubicadas en China, EE. UU. y Brasil.

Vulnerabilidad de Apache RocketMQ Explotada por el Botnet DreamBus

En una señal de que los actores de amenazas siempre están buscando nuevos defectos para explotar, se ha observado una versión actualizada del malware botnet DreamBus aprovechando una vulnerabilidad crítica de ejecución remota de código en servidores RocketMQ para comprometer dispositivos.

CVE-2023-33246, como se cataloga el problema, es una falla de ejecución remota de código que afecta a las versiones de RocketMQ 5.1.0 y anteriores que permite a un atacante no autenticado ejecutar comandos con el mismo nivel de acceso que el proceso del usuario del sistema.


En los ataques detectados por Juniper Threat Labs desde el 19 de junio de 2023, la explotación exitosa de la falla allana el camino para la implementación de un script de bash llamado "reketed", que actúa como el descargador del botnet DreamBus desde un servicio oculto de TOR.

DreamBus es un malware basado en Linux que es una variante de SystemdMiner y está diseñado para minar criptomonedas en sistemas infectados. Activo desde principios de 2019, se sabe que se propaga explotando específicamente vulnerabilidades de ejecución remota de código.

"Como parte de la rutina de instalación, el malware termina procesos y elimina archivos asociados con versiones antiguas de sí mismo", dijo el investigador de seguridad Paul Kimayong, agregando que establece la persistencia en el host mediante un trabajo cron.

"Sin embargo, la presencia de un bot modular como el malware DreamBus equipado con la capacidad de ejecutar scripts de bash proporciona a estos ciberdelincuentes el potencial de diversificar su repertorio de ataques, incluida la instalación de varias otras formas de malware."

Explotación de VPN SSL de Cisco ASA para Implementar Ransomware Akira

Los acontecimientos se producen en medio de la advertencia de la firma de ciberseguridad Rapid7 sobre un aumento en la actividad de amenazas que se remonta a marzo de 2023 y que se dirige a los dispositivos VPN SSL de Cisco ASA para implementar los ransomwares Akira y LockBit.

Mientras que algunas instancias han implicado el uso de relleno de credenciales, la actividad en otros "parece ser el resultado de ataques de fuerza bruta dirigidos a dispositivos ASA donde la autenticación multifactor (MFA) no estaba habilitada o no se aplicaba a todos los usuarios", dijo la compañía.


Cisco ha reconocido los ataques, señalando que los actores de amenazas también podrían estar comprando credenciales robadas en la web oscura para infiltrarse en organizaciones.

Esta hipótesis se ve reforzada por el hecho de que se observó a un corredor de acceso inicial llamado Bassterlord vendiendo una guía sobre cómo irrumpir en redes corporativas en foros clandestinos a principios de este febrero.

"Es notable que el autor afirmó haber comprometido 4,865 servicios VPN SSL de Cisco y 9,870 servicios VPN de Fortinet con la combinación de nombre de usuario/contraseña test:test", dijo Rapid7.

"Es posible que, dado el momento de la discusión en la web oscura y la mayor actividad de amenazas que observamos, las instrucciones del manual contribuyeron al aumento de ataques de fuerza bruta dirigidos a VPN de Cisco ASA."

Los informes también llegan cuando los dispositivos Citrix NetScaler ADC y Gateway sin parchear corren un riesgo elevado de ataques oportunistas por parte de actores de ransomware que están haciendo uso de un defecto crítico en los productos para soltar web shells y otras cargas útiles.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más