Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Advertencia: surge nuevo malware en ataques que explotan las vulnerabilidades de Ivanti VPN
  • Tecnología

Advertencia: surge nuevo malware en ataques que explotan las vulnerabilidades de Ivanti VPN

teknomers 1 de Şubat de 2024 (Last updated: 1 de Şubat de 2024) 3 minutes read
Advertencia: surge nuevo malware en ataques que explotan las vulnerabilidades


01 de febrero de 2024Sala de redacciónSeguridad de red/malware

Mandiant, propiedad de Google, dijo que identificó un nuevo malware empleado por un actor de amenazas de espionaje del nexo con China conocido como UNC5221 y otros grupos de amenazas durante la actividad posterior a la explotación dirigida a dispositivos Ivanti Connect Secure VPN y Policy Secure.

Esto incluye shells web personalizados como BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.

“CHAINLINE es una puerta trasera de shell web de Python que está integrada en un paquete Ivanti Connect Secure Python que permite la ejecución de comandos arbitrarios”, dijo la empresa. dichoatribuyéndolo a UNC5221, agregando que también detectó múltiples versiones nuevas de WARPWIRE, un ladrón de credenciales basado en JavaScript.

Las cadenas de infección implican una explotación exitosa de CVE-2023-46805 y CVE-2024-21887, que permiten a un actor de amenazas no autenticado ejecutar comandos arbitrarios en el dispositivo Ivanti con privilegios elevados.

La seguridad cibernética

Desde principios de diciembre de 2023 se ha abusado de los fallos como de día cero. Oficina Federal de Seguridad de la Información (BSI) de Alemania dicho está al tanto de “múltiples sistemas comprometidos” en el país.

BUSHWALK, escrito en Perl e implementado eludiendo las mitigaciones emitidas por Ivanti en ataques altamente dirigidos, está integrado en un archivo Connect Secure legítimo llamado “querymanifest.cgi” y ofrece la capacidad de leer o escribir archivos en un servidor.

Por otro lado, FRAMESTING es un shell web de Python integrado en un paquete Ivanti Connect Secure Python (ubicado en la siguiente ruta “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py”) que permite la ejecución de comandos arbitrarios.

El análisis de Mandiant de la puerta trasera pasiva ZIPLINE también ha descubierto el uso de “amplia funcionalidad para garantizar la autenticación de su protocolo personalizado utilizado para establecer comando y control (C2)”.

Además, los ataques se caracterizan por el uso de utilidades de código abierto como Paquete, CrackMapExec, yodoy Enum4linux para respaldar la actividad posterior a la explotación en los dispositivos Ivanti CS, incluido el reconocimiento de red, el movimiento lateral y la filtración de datos dentro de los entornos de las víctimas.

La seguridad cibernética

Desde entonces, Ivanti ha revelado dos fallos de seguridad más, CVE-2024-21888 y CVE-2024-21893, el último de los cuales ha sido objeto de explotación activa dirigida a un “número limitado de clientes”. La compañía también lanzó la primera ronda de correcciones para abordar las cuatro vulnerabilidades.

Se dice que UNC5221 apunta a una amplia gama de industrias que son de interés estratégico para China, y su infraestructura y herramientas se superponen con intrusiones pasadas vinculadas a actores de espionaje con sede en China.

“Las herramientas basadas en Linux identificadas en las investigaciones de respuesta a incidentes utilizan código de múltiples repositorios Github en idioma chino”, dijo Mandiant. “UNC5221 ha aprovechado en gran medida los TTP asociados con la explotación de día cero de la infraestructura de borde por parte de actores sospechosos del nexo con la República Popular China”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cuando el tendón del hombro se desgarra
Next: Las ganancias de Julius Baer caen un 52% cuando el éxito de Signa desencadena la salida del CEO

Related Stories

¿Podrán los satélites controlar pronto la velocidad de los coches?
  • Tecnología

¿Podrán los satélites controlar pronto la velocidad de los coches?

teknomers 12 de Temmuz de 2026
Meta crea una herramienta para detectar imágenes generadas por IA...
  • Tecnología

Meta crea una herramienta para detectar imágenes generadas por IA… pero no siempre reconoce las suyas.

teknomers 12 de Temmuz de 2026
Podrás comprar bitcoin al hacer tus compras en 2,200 tiendas
  • Tecnología

Podrás comprar bitcoin al hacer tus compras en 2,200 tiendas en Francia

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

Francia apaga reactores nucleares debido a la ola de calor

teknomers 12 de Temmuz de 2026
  • General

Guerra entre EE. UU. e Irán: Flujo de petróleo a través de Hormuz aumenta tras el alto el fuego, pero nuevos ataques generan temores, según IEA.

teknomers 12 de Temmuz de 2026
  • Deporte

Quirke recibe convocatoria para el Campeonato de Naciones de Inglaterra tras la lesión de Mitchell

teknomers 12 de Temmuz de 2026
  • Deporte

Tour de France: superior al sprint, Mathieu Van der Poel gana la 9ª etapa como un campeón

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.