06 de septiembre de 2024Ravie LakshmananAtaque de criptomoneda/APT Una falla de seguridad recientemente revelada en OSGeo GeoServer GeoTools ha sido explotada como parte de múltiples campañas para distribuir mineros de criptomonedas, malware de botnet como Condi y JenX, y una puerta trasera conocida llamada SideWalk. La vulnerabilidad de seguridad es un error crítico de ejecución remota de código (CVE-2024-36401, puntuación CVSS: 9,8) que podría permitir que actores maliciosos se apoderen de instancias susceptibles. A mediados de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lo agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), con base en evidencia de explotación activa. La Fundación Shadowserver dijo que detectó intentos de explotación contra sus sensores honeypot a partir del 9 de julio de 2024. Según Fortinet FortiGuard Labs, se ha observado que la falla distribuye GOREVERSE, un servidor proxy inverso diseñado para establecer una conexión con un servidor de comando y control (C2) para la actividad posterior a la explotación. Se dice que estos ataques tienen como objetivo a proveedores de servicios de TI en India, empresas de tecnología en los EE. UU., entidades gubernamentales en Bélgica y empresas de telecomunicaciones en Tailandia y Brasil. El servidor GeoServer también ha servido como conducto para Condi y una variante de botnet Mirai denominada JenX, y al menos cuatro tipos de mineros de criptomonedas, uno de los cuales se recupera de un sitio web falso que se hace pasar por el Instituto de Contadores Públicos de la India (ICAI). Quizás la más notable de las cadenas de ataque que aprovechan la falla es la que propaga una puerta trasera avanzada de Linux llamada SideWalk, que se atribuye a un actor de amenazas chino rastreado como APT41. El punto de partida es un script de shell que se encarga de descargar los binarios ELF para las arquitecturas ARM, MIPS y X86, que, a su vez, extrae el servidor C2 de una configuración cifrada, se conecta a él y recibe más comandos para su ejecución en el dispositivo comprometido. Esto incluye la ejecución de una herramienta legítima conocida como Fast Reverse Proxy (FRP) para evadir la detección mediante la creación de un túnel cifrado desde el host hasta el servidor controlado por el atacante, lo que permite el acceso remoto persistente, la exfiltración de datos y la implementación de la carga útil. «Los objetivos principales parecen estar distribuidos en tres regiones principales: Sudamérica, Europa y Asia», dijeron los investigadores de seguridad Cara Lin y Vincent Li. «Esta distribución geográfica sugiere una campaña de ataque sofisticada y de gran alcance, que potencialmente explota vulnerabilidades comunes a estos diversos mercados o apunta a industrias específicas que prevalecen en estas áreas». El desarrollo se produce después de que CISA agregara esta semana a su catálogo KEV dos fallas encontradas en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, puntaje CVSS: 7.5) que podrían explotarse para descargar archivos arbitrarios del sistema operativo subyacente con privilegios de root. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.