El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus agencias asociadas estadounidenses, la Agencia de Seguridad Nacional (NSA) y el FBI, han publicado hoy otra alerta que destaca la explotación continua de vulnerabilidades, a escala, por parte de actores de amenazas vinculados al Estado ruso. El último aviso advierte a las organizaciones en riesgo de ser blanco del Servicio de Inteligencia Exterior de Moscú, el SVR, que implementen rápidamente parches y prioricen las actualizaciones de software tan pronto como estén disponibles. El SVR es una de varias agencias rusas sospechosas de proporcionar tareas al grupo conocido como APT29, o más fantasiosamente, Cozy Bear. Cozy Bear estuvo detrás del incidente de Solorigate/Sunburst que afectó a los clientes de SolarWinds y del hackeo del Comité Nacional Demócrata de EE. UU. en 2016, entre muchas otras cosas. «Los ciberactores rusos están interesados ​​y son muy capaces de acceder a sistemas sin parches en una variedad de sectores, y una vez dentro, pueden explotar este acceso para cumplir sus objetivos», dijo el director de operaciones del NCSC, Paul Chichester. «Se anima a todas las organizaciones a reforzar sus ciberdefensas: prestar atención a los consejos establecidos en el aviso y priorizar la implementación de parches y actualizaciones de software», añadió. Las agencias destacaron algunas de las últimas tácticas utilizadas para recopilar inteligencia extranjera por parte de Cozy Bear, que últimamente se especializa en atacar a organismos gubernamentales y diplomáticos, grupos de expertos, empresas de tecnología e instituciones financieras. Se sabe que escanea los sistemas conectados a Internet para encontrar vulnerabilidades sin parches a gran escala para explotarlas de manera oportunista con la esperanza de mayores compromisos en el futuro. Como tal, cualquier organización de cualquier sector (no solo aquellas que corren un riesgo particular de espionaje dirigido) puede encontrarse en problemas cuando Cozy Bear aproveche sus sistemas vulnerables para albergar infraestructura maliciosa, ejecutar operaciones de seguimiento desde cuentas comprometidas o pivotar. a otras redes. Esto se vio más famoso en el incidente Sunburst, donde SolarWinds, sin saberlo, proporcionó el trampolín hacia las redes del gobierno de EE. UU. El aviso documenta el uso continuo por parte de Cozy Bear de múltiples vulnerabilidades divulgadas públicamente en una amplia gama de productos de proveedores al servicio de sus intrusiones. Algunos de estos problemas se remontan a más de cinco años y todos han sido divulgados y solucionados. En conjunto, permiten una amplia gama de escenarios de ataque. De particular interés últimamente son dos problemas a los que se les asignaron las designaciones CVE-2022-27924 y CVE-2023-42793. La primera de ellas es una vulnerabilidad de inyección de comandos en Zimbra que permite a un usuario no autenticado inyectar comandos arbitrarios en una instancia específica, provocando una sobrescritura de entradas arbitrarias en caché. Cozy Bear lo ha explotado a escala en cientos de dominios en todo el mundo y lo ha utilizado para acceder a las credenciales de los usuarios y a los buzones de correo sin tener que interactuar con sus víctimas. El segundo es un fallo de ejecución de código arbitrario en JetBrains TeamCity que surge a través del manejo inseguro de rutas específicas que permiten eludir la autenticación. Los socios dijeron que, basándose en las tácticas, técnicas y procedimientos (TTP) conocidos de Cozy Bear y su objetivo anterior, la operación tiene tanto la capacidad como el interés de explotar CVE adicionales para el acceso inicial, la ejecución remota de código y la escalada de privilegios.