Alerta: Juniper Firewalls, Openfire y Apache RocketMQ bajo ataque de nuevos exploits


Las fallas de seguridad reveladas recientemente que afectan los firewalls de Juniper, los servidores Openfire y Apache RocketMQ han sido objeto de explotación activa en la naturaleza, según múltiples informes.

La Fundación Shadowserver dicho que está “viendo intentos de explotación desde múltiples IP para Juniper J-Web CVE-2023-36844 (y amigos) dirigidos al punto final /webauth_operation.php”, el mismo día que estuvo disponible una prueba de concepto (PoC).

Los problemas, identificados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 y CVE-2023-36847, residen en el componente J-Web de Junos OS en Juniper SRX y EX Series. Un atacante no autenticado basado en la red podría encadenarlos para ejecutar código arbitrario en instalaciones susceptibles.

Los parches para la falla se lanzaron el 17 de agosto de 2023, una semana después de la cual watchTowr Labs publicó una prueba de concepto (PoC) combinando CVE-2023-36846 y CVE-2023-36845 para ejecutar un archivo PHP que contiene código shell malicioso.

La seguridad cibernética

Actualmente, hay más de 8.200 dispositivos Juniper que tienen sus interfaces J-Web expuestas a Internet, la mayoría de ellos de Corea del Sur, Estados Unidos, Hong Kong, Indonesia, Turquía e India.

Kinsing explota la vulnerabilidad de Openfire

Otra vulnerabilidad que los actores de amenazas han utilizado como arma es CVE-2023-32315, un error de recorrido de ruta de alta gravedad en la consola administrativa de Openfire que podría aprovecharse para la ejecución remota de código.

“Esta falla permite que un usuario no autorizado explote el entorno de configuración de Openfire no autenticado dentro de una configuración de Openfire establecida”, dijo la firma de seguridad en la nube Aqua. dicho.

“Como resultado, un actor de amenazas obtiene acceso a los archivos de configuración de administrador que normalmente están restringidos dentro de la Consola de administración de Openfire. A continuación, el actor de amenazas puede elegir entre agregar un usuario administrador a la consola o cargar un complemento que eventualmente permitirá el acceso completo. control sobre el servidor.”

linux

Actores de amenazas asociados con el Botnet de malware Kinsing Se ha observado que utilizan la falla para crear un nuevo usuario administrador y cargar un archivo JAR, que contiene un archivo llamado cmd.jsp que actúa como un shell web para colocar y ejecutar el malware y un minero de criptomonedas.

Aqua dijo que encontró 6.419 servidores conectados a Internet con el servicio Openfire en ejecución, y la mayoría de las instancias se encuentran en China, Estados Unidos y Brasil.

Vulnerabilidad de Apache RocketMQ atacada por la botnet DreamBus

En una señal de que los actores de amenazas siempre están buscando nuevas fallas para explotar, se ha observado que una versión actualizada del malware botnet DreamBus aprovecha una vulnerabilidad de ejecución remota de código de gravedad crítica en los servidores RocketMQ para comprometer dispositivos.

CVE-2023-33246como se cataloga el problema, es una falla de ejecución remota de código que afecta a las versiones 5.1.0 e inferiores de RocketMQ y que permite a un atacante no autenticado ejecutar comandos con el mismo nivel de acceso que el proceso de usuario del sistema.

linux

En los ataques detectados por Juniper Threat Labs desde el 19 de junio de 2023, la explotación exitosa de la falla allana el camino para la implementación de un script bash llamado “reketed”, que actúa como descargador de la botnet DreamBus desde un servicio oculto TOR.

DreamBus es un Malware basado en Linux es una variante de SystemdMiner y está diseñada para extraer criptomonedas en sistemas infectados. Activo desde principios de 2019, se sabe que se propaga explotando específicamente vulnerabilidades de ejecución remota de código.

“Como parte de la rutina de instalación, el malware finaliza procesos y elimina archivos asociados con versiones obsoletas de sí mismo”, afirma el investigador de seguridad Paul Kimayong. dichoagregarlo configura la persistencia en el host mediante un trabajo cron.

La seguridad cibernética

“Sin embargo, la presencia de un robot modular como el malware DreamBus equipado con la capacidad de ejecutar scripts bash proporciona a estos ciberdelincuentes el potencial de diversificar su repertorio de ataques, incluida la instalación de otras formas de malware”.

Explotación de VPN SSL de Cisco ASA para implementar Akira Ransomware

Los acontecimientos se producen en medio de la empresa de ciberseguridad Rapid7. advertencia de un aumento en la actividad de amenazas que se remonta a marzo de 2023 y que apunta a dispositivos VPN SSL de Cisco ASA para implementar el ransomware Akira.

Si bien algunos casos han implicado el uso de relleno de credenciales, la actividad en otros “parece ser el resultado de ataques dirigidos de fuerza bruta a dispositivos ASA donde la autenticación multifactor (MFA) no estaba habilitada o no se aplicaba para todos los usuarios”. dijo la empresa.

Cortafuegos Juniper, Openfire y Apache RocketMQ

Cisco ha reconocido la ataquesseñalando que los actores de amenazas también podrían estar comprando credenciales robadas de la web oscura para infiltrarse en las organizaciones.

Esta hipótesis se ve reforzada por el hecho de que a principios de febrero se observó a un corredor de acceso inicial conocido como Bassterlord vendiendo una guía sobre cómo irrumpir en redes corporativas en foros clandestinos.

“En particular, el autor afirmó que habían comprometido 4.865 servicios VPN SSL de Cisco y 9.870 servicios VPN de Fortinet con la prueba de combinación de nombre de usuario/contraseña: prueba”, dijo Rapid7.

“Es posible que, dado el momento de la discusión sobre la web oscura y el aumento de la actividad de amenazas que observamos, las instrucciones del manual hayan contribuido al aumento de los ataques de fuerza bruta dirigidos a las VPN de Cisco ASA”.

Las revelaciones también llegan cuando los dispositivos Citrix NetScaler ADC y Gateway sin parches corren un mayor riesgo de sufrir ataques oportunistas por parte de actores de ransomware que utilizan una falla crítica en los productos para eliminar shells web y otras cargas útiles.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57