Conclusiones clave Los actores de amenazas continúan explotando varias vulnerabilidades recientes que los usuarios han tardado en mitigar. Los sensores de Cyble honeypot detectaron ataques a vulnerabilidades en Cisco ASA, QNAP QTS, D-Link, PHP, Progress Telerik y otros objetivos. El malware de Linux sigue siendo una amenaza persistente, a medida que los actores de amenazas encuentran nuevas formas de infectar la cadena de suministro y otros vectores. Los sensores de Cyble también descubrieron nuevas campañas de correo electrónico no deseado y miles de intentos de fuerza bruta. Descripción general La unidad de Inteligencia de Vulnerabilidad de Cyble detectó la semana pasada numerosos intentos de explotación, intrusiones de malware, campañas de phishing y ataques de fuerza bruta a través de su red de sensores Honeypot. En la semana del 25 de septiembre al 25 de octubre. El 1 de enero, los investigadores de Cyble identificaron varios exploits activos recientes, incluidos nuevos ataques contra varios productos de red y enrutadores, más de 300 nuevas direcciones de correo electrónico no deseado y miles de ataques de fuerza bruta. Explotaciones de vulnerabilidades Los sensores de Cyble detectaron varias vulnerabilidades recientes bajo explotación activa, además de una serie de vulnerabilidades más antiguas que se explotan activamente. Los sensores de Cyble detectaron ataques en la interfaz de usuario de Progress Telerik, que tenía cuatro vulnerabilidades reportadas recientemente que podrían permitir la inyección de comandos y la ejecución de código (CVE-2024-8316, CVE-2024-7679, CVE-2024-7576 y CVE-2024-7575). . Los enrutadores al final de su vida útil de D-Link (DIR-859 1.06B01) están bajo ataque. Una vulnerabilidad de recorrido de ruta de gravedad 9,8 identificada como CVE-2024-0769 puede atacarse de forma remota y se insta a los usuarios a reemplazar el dispositivo. Esta semana, CISA agregó otro enrutador D-Link, el DIR-820, a su catálogo de vulnerabilidades explotadas conocidas. Los sensores Cyble detectaron ataques al firmware QNAP QTS, que alberga numerosas vulnerabilidades de inyección de comandos que son susceptibles de explotación y permiten la ejecución remota de comandos en los dispositivos afectados. QNAP emitió un aviso de seguridad sobre el tema a principios de este año. Los sensores de Cyble han identificado a los atacantes que escanean en busca de la URL “/+CSCOE+/logon.html”, que está relacionada con la página de inicio de sesión WebVPN de Cisco Adaptive Security Appliance (ASA). Esta URL se utiliza para acceder a la página de inicio de sesión del servicio WebVPN, que permite a los usuarios remotos acceder a los recursos de la red interna de forma segura. También se ha descubierto que la URL tiene una serie de vulnerabilidades, incluidas secuencias de comandos entre sitios, recorrido de ruta y división de respuestas HTTP. Estas vulnerabilidades pueden permitir a los atacantes ejecutar código arbitrario, robar información confidencial o provocar una denegación de servicio. Las vulnerabilidades críticas en PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) y las cámaras IP AVTECH (CVE-2024-7029) también permanecen bajo ataque activo por parte de actores de amenazas. Malware de Linux detectado La unidad Cyble Vulnerability Intelligence también identificó una serie de ataques de Linux, incluido el troyano CoinMiner Linux, que llega a un sistema como un archivo dejado por otro malware o como un archivo descargado sin saberlo por los usuarios al visitar sitios maliciosos, y Linux IRCBot. ataques, donde la conexión IRC se explota como puerta trasera, lo que permite a los atacantes realizar diversas acciones en el sistema comprometido. Muchos sistemas afectados se utilizan como botnet controlados por el IRC. Los actores de amenazas se han vuelto cada vez más innovadores en la distribución de malware para Linux; A principios de este año, CoinMiner se encontró en paquetes PyPI (Python Package Index). Nuevas estafas de phishing identificadas Cyble identificó 364 nuevas direcciones de correo electrónico de phishing esta semana. A continuación se presentan seis campañas destacadas: Asunto del correo electrónico Estafadores Correo electrónico IDS Tipo de cámara Descripción Confirme barristerpierresalao@gmail.com Estafa de reclamo Reembolso falso contra reclamos ¡¡¡Atención, por favor!!! davidmillerson@aliyun.com Estafa de lotería/premio Ganancias de premios falsos para extorsionar dinero o información .comEstafa de donacionesEstafadores que se hacen pasar por donantes para donar dineroOferta de inversiónDave@uS.comEstafa de inversionesOfertas de inversión poco realistas para robar fondos o datosPedido: cleared customssupport@ip.linodeusercontent.com Estafa de envíoTruco de envío no reclamado para exigir tarifas o detallesPROGRAMA DE PAGO OFICIALinfo@rina.orgEstafa de organización gubernamentalCompensación gubernamental falsa para recopilar detalles financieros Se observaron ataques de fuerza bruta De los miles de ataques de fuerza bruta detectados por los escáneres Cyble esta semana, varios puertos, objetivos y tácticas merecen especial atención. Entre los cinco principales países atacantes, Cyble notó ataques originados en Rusia dirigidos a los puertos 3389 (64%), 5900 (30%), 445 (4%), 3306 (2%) y 1143 (1%). Los ataques procedentes de los Países Bajos dirigidos a puertos utilizaron 5900 (80%), 3389 (8%), 22 (1%) y 81 (1%). Francia, China y Bulgaria apuntaron principalmente a los puertos 1433, 5900 y 445. Se recomienda a los analistas de seguridad agregar bloques de sistemas de seguridad para los puertos atacados (como 22, 3389, 443, 445, 5900 y 3306). La mayor parte de los ataques (88%) provino de atacantes conocidos, bots y rastreadores (7%) y escáneres masivos (4%). Los nombres de usuario y contraseñas más utilizados para ataques de fuerza bruta se muestran en la siguiente figura. Los ataques de fuerza bruta suelen tener como objetivo servidores y software de automatización de TI, como “3comcso, elasticsearch y hadoop” y ataques a bases de datos como “mysql” y “Postgres”. Algunas de las combinaciones de nombre de usuario y contraseña más comunes utilizadas fueron “sa”, “root”, “admin”, “contraseña”, “123456”, etc. Por lo tanto, es aconsejable configurar contraseñas seguras para servidores y dispositivos. Recomendaciones de Cyble Los investigadores de Cyble recomiendan los siguientes controles de seguridad: Bloqueo de hashes de destino, URL e información de correo electrónico en los sistemas de seguridad (los clientes de Cyble recibieron una lista de IoC separada). Parche de inmediato todas las vulnerabilidades abiertas enumeradas aquí y supervise de forma rutinaria las principales alertas de Suricata en las redes internas. Verifique constantemente los ASN e IP de los atacantes. Bloquee las IP de ataques de fuerza bruta y los puertos de destino enumerados. Restablezca inmediatamente los nombres de usuario y contraseñas predeterminados para mitigar los ataques de fuerza bruta y aplicar cambios periódicos. Para los servidores, configure contraseñas seguras que sean difíciles de adivinar. Relacionado