La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado dos fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La lista de fallas está a continuación:
- CVE-2024-20767 (Puntuación CVSS: 7,4): Adobe ColdFusion contiene una vulnerabilidad de control de acceso inadecuado que podría permitir a un atacante acceder o modificar archivos restringidos a través de un panel de administración expuesto a Internet (parcheado por Adobe en marzo 2024)
- CVE-2024-35250 (Puntuación CVSS: 7,8): el controlador en modo kernel de Microsoft Windows contiene una vulnerabilidad de desreferencia de puntero no confiable que permite a un atacante local escalar privilegios (parcheado por Microsoft en junio 2024)
La empresa taiwanesa de ciberseguridad DEVCORE, que descubrió e informó CVE-2024-35250, compartido detalles técnicos adicionales en agosto de 2024, indicando que está basado en Microsoft Kernel Streaming Service (MSKSSRV).
Actualmente no hay detalles sobre cómo se están utilizando las deficiencias como arma en ataques del mundo real, aunque los exploits de prueba de concepto (PoC) para ambos de a ellos existen en el dominio público.
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la remediación necesaria antes del 6 de enero de 2025 para proteger sus redes.
El FBI advierte sobre HiatusRAT dirigido a cámaras web y DVR
El desarrollo sigue a una alerta de la Oficina Federal de Investigaciones (FBI) sobre las campañas de HiatusRAT que se expanden más allá de los dispositivos de borde de red, como enrutadores, para escanear dispositivos de Internet de las cosas (IoT) de Hikvision, D-Link y Dahua ubicados en los EE. UU., Australia y Canadá. , Nueva Zelanda y el Reino Unido.
“Los actores escanearon cámaras web y DVR en busca de vulnerabilidades, incluidas CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260y contraseñas débiles proporcionadas por los proveedores”, dijo el FBI. dicho. “Muchas de estas vulnerabilidades aún no han sido mitigadas por los proveedores”.
La actividad maliciosa, observada en marzo de 2024, implicó el uso de utilidades de código abierto llamadas Ingram y Medusa para escaneo y descifrado de autenticación por fuerza bruta.
Enrutadores DrayTek explotados en una campaña de ransomware
Las advertencias también se producen cuando Forescout Vedere Labs, con inteligencia compartida por PRODAFT, reveló la semana pasada que los actores de amenazas han explotado fallas de seguridad en los enrutadores DrayTek para atacar más de 20,000 dispositivos DrayTek Vigor como parte de una campaña coordinada de ransomware entre agosto y septiembre de 2023.
“La operación aprovechó una supuesta vulnerabilidad de día cero, lo que permitió a los atacantes infiltrarse en redes, robar credenciales e implementar ransomware”, dijo la empresa. dichoy agregó que la campaña “involucró a tres actores de amenazas distintos: Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288) y LARVA-15 (Wazawaka), que siguieron un flujo de trabajo estructurado y eficiente”.
Se cree que Monstrous Mantis identificó y aprovechó la vulnerabilidad y recopiló sistemáticamente credenciales, que luego fueron descifradas y compartidas con socios confiables como Ruthless Mantis y LARVA-15.
En última instancia, los ataques permitieron a los colaboradores realizar actividades posteriores a la explotación, incluido el movimiento lateral y la escalada de privilegios, lo que en última instancia condujo al despliegue de diferentes familias de ransomware como RagnarLocker, Nokoyawa, RansomHouse y Qilin.
“Monstrous Mantis retuvo el exploit en sí, conservando el control exclusivo sobre la fase de acceso inicial”, dijo la compañía. “Esta estructura calculada les permitió obtener ganancias indirectas, ya que los operadores de ransomware que monetizaron con éxito sus intrusiones estaban obligados a compartir un porcentaje de sus ganancias”.
Se estima que Ruthless Mantis ha comprometido con éxito al menos 337 organizaciones, principalmente ubicadas en el Reino Unido y los Países Bajos, con LARVA-15 actuando como intermediario de acceso inicial (IAB) al vender el acceso que obtuvo de Monstrous Mantis a otros actores de amenazas.
Se sospecha que los ataques utilizaron un exploit de día cero en dispositivos DrayTek, como lo demuestra el descubrimiento de 22 nuevas vulnerabilidades que comparten causas raíz similares a CVE-2020-8515 y CVE-2024-41592.
“La recurrencia de tales vulnerabilidades dentro de la misma base de código sugiere una falta de análisis exhaustivo de la causa raíz, búsqueda de variantes y revisiones sistemáticas del código por parte del proveedor después de cada divulgación de vulnerabilidad”, señaló Forescout.
About the Author
