Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Alerta: Juniper Firewalls, Openfire y Apache RocketMQ bajo ataque de nuevos exploits
  • Tecnología

Alerta: Juniper Firewalls, Openfire y Apache RocketMQ bajo ataque de nuevos exploits

teknomers 30 de Ağustos de 2023 (Last updated: 30 de Ağustos de 2023) 6 minutes read
Alerta: Juniper Firewalls, Openfire y Apache RocketMQ bajo ataque de


Las fallas de seguridad reveladas recientemente que afectan los firewalls de Juniper, los servidores Openfire y Apache RocketMQ han sido objeto de explotación activa en la naturaleza, según múltiples informes.

La Fundación Shadowserver dicho que está “viendo intentos de explotación desde múltiples IP para Juniper J-Web CVE-2023-36844 (y amigos) dirigidos al punto final /webauth_operation.php”, el mismo día que estuvo disponible una prueba de concepto (PoC).

Los problemas, identificados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 y CVE-2023-36847, residen en el componente J-Web de Junos OS en Juniper SRX y EX Series. Un atacante no autenticado basado en la red podría encadenarlos para ejecutar código arbitrario en instalaciones susceptibles.

Los parches para la falla se lanzaron el 17 de agosto de 2023, una semana después de la cual watchTowr Labs publicó una prueba de concepto (PoC) combinando CVE-2023-36846 y CVE-2023-36845 para ejecutar un archivo PHP que contiene código shell malicioso.

La seguridad cibernética

Actualmente, hay más de 8.200 dispositivos Juniper que tienen sus interfaces J-Web expuestas a Internet, la mayoría de ellos de Corea del Sur, Estados Unidos, Hong Kong, Indonesia, Turquía e India.

Kinsing explota la vulnerabilidad de Openfire

Otra vulnerabilidad que los actores de amenazas han utilizado como arma es CVE-2023-32315, un error de recorrido de ruta de alta gravedad en la consola administrativa de Openfire que podría aprovecharse para la ejecución remota de código.

“Esta falla permite que un usuario no autorizado explote el entorno de configuración de Openfire no autenticado dentro de una configuración de Openfire establecida”, dijo la firma de seguridad en la nube Aqua. dicho.

“Como resultado, un actor de amenazas obtiene acceso a los archivos de configuración de administrador que normalmente están restringidos dentro de la Consola de administración de Openfire. A continuación, el actor de amenazas puede elegir entre agregar un usuario administrador a la consola o cargar un complemento que eventualmente permitirá el acceso completo. control sobre el servidor.”

linux

Actores de amenazas asociados con el Botnet de malware Kinsing Se ha observado que utilizan la falla para crear un nuevo usuario administrador y cargar un archivo JAR, que contiene un archivo llamado cmd.jsp que actúa como un shell web para colocar y ejecutar el malware y un minero de criptomonedas.

Aqua dijo que encontró 6.419 servidores conectados a Internet con el servicio Openfire en ejecución, y la mayoría de las instancias se encuentran en China, Estados Unidos y Brasil.

Vulnerabilidad de Apache RocketMQ atacada por la botnet DreamBus

En una señal de que los actores de amenazas siempre están buscando nuevas fallas para explotar, se ha observado que una versión actualizada del malware botnet DreamBus aprovecha una vulnerabilidad de ejecución remota de código de gravedad crítica en los servidores RocketMQ para comprometer dispositivos.

CVE-2023-33246como se cataloga el problema, es una falla de ejecución remota de código que afecta a las versiones 5.1.0 e inferiores de RocketMQ y que permite a un atacante no autenticado ejecutar comandos con el mismo nivel de acceso que el proceso de usuario del sistema.

linux

En los ataques detectados por Juniper Threat Labs desde el 19 de junio de 2023, la explotación exitosa de la falla allana el camino para la implementación de un script bash llamado “reketed”, que actúa como descargador de la botnet DreamBus desde un servicio oculto TOR.

DreamBus es un Malware basado en Linux es una variante de SystemdMiner y está diseñada para extraer criptomonedas en sistemas infectados. Activo desde principios de 2019, se sabe que se propaga explotando específicamente vulnerabilidades de ejecución remota de código.

“Como parte de la rutina de instalación, el malware finaliza procesos y elimina archivos asociados con versiones obsoletas de sí mismo”, afirma el investigador de seguridad Paul Kimayong. dichoagregarlo configura la persistencia en el host mediante un trabajo cron.

La seguridad cibernética

“Sin embargo, la presencia de un robot modular como el malware DreamBus equipado con la capacidad de ejecutar scripts bash proporciona a estos ciberdelincuentes el potencial de diversificar su repertorio de ataques, incluida la instalación de otras formas de malware”.

Explotación de VPN SSL de Cisco ASA para implementar Akira Ransomware

Los acontecimientos se producen en medio de la empresa de ciberseguridad Rapid7. advertencia de un aumento en la actividad de amenazas que se remonta a marzo de 2023 y que apunta a dispositivos VPN SSL de Cisco ASA para implementar el ransomware Akira.

Si bien algunos casos han implicado el uso de relleno de credenciales, la actividad en otros “parece ser el resultado de ataques dirigidos de fuerza bruta a dispositivos ASA donde la autenticación multifactor (MFA) no estaba habilitada o no se aplicaba para todos los usuarios”. dijo la empresa.

Cortafuegos Juniper, Openfire y Apache RocketMQ

Cisco ha reconocido la ataquesseñalando que los actores de amenazas también podrían estar comprando credenciales robadas de la web oscura para infiltrarse en las organizaciones.

Esta hipótesis se ve reforzada por el hecho de que a principios de febrero se observó a un corredor de acceso inicial conocido como Bassterlord vendiendo una guía sobre cómo irrumpir en redes corporativas en foros clandestinos.

“En particular, el autor afirmó que habían comprometido 4.865 servicios VPN SSL de Cisco y 9.870 servicios VPN de Fortinet con la prueba de combinación de nombre de usuario/contraseña: prueba”, dijo Rapid7.

“Es posible que, dado el momento de la discusión sobre la web oscura y el aumento de la actividad de amenazas que observamos, las instrucciones del manual hayan contribuido al aumento de los ataques de fuerza bruta dirigidos a las VPN de Cisco ASA”.

Las revelaciones también llegan cuando los dispositivos Citrix NetScaler ADC y Gateway sin parches corren un mayor riesgo de sufrir ataques oportunistas por parte de actores de ransomware que utilizan una falla crítica en los productos para eliminar shells web y otras cargas útiles.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Después de la primicia mundial de un gran gusano vivo en el cerebro de una mujer australiana: estos parásitos también se arrastraron hasta el cuerpo humano
Next: ¡Daniel Amartey lesionado en Beşiktaş!

Related Stories

G-SYNC Pulsar: NVIDIA reduce la latencia en modo 240 Hz
  • Tecnología

G-SYNC Pulsar: NVIDIA reduce la latencia en modo 240 Hz

teknomers 8 de Temmuz de 2026
Nothing lanza su Phone (4b) y sus auriculares ear (3a)
  • Tecnología

Nothing lanza su Phone (4b) y sus auriculares ear (3a) a un precio accesible y con funciones originales

teknomers 8 de Temmuz de 2026
Free actualiza sus Freebox y cambia un ajuste de red
  • Tecnología

Free actualiza sus Freebox y cambia un ajuste de red que los usuarios solicitaban

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

Nueva York: un brote de legionelosis detectado por las autoridades, ¿deben preocuparse los aficionados del equipo de Francia?

teknomers 8 de Temmuz de 2026
Avant de États-Unis - Belgique, la FIFA suspendió discretamente a
  • Deporte

Avant de États-Unis – Belgique, la FIFA suspendió discretamente a dos dirigentes estadounidenses, intensificando la confusión en el caso Balogun.

teknomers 8 de Temmuz de 2026
  • General

La llegada del ataúd de Ali Khamenei a Najaf, Irak, en medio de una multitud masiva – Teknomers Video

teknomers 8 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Henry Patten de GB y Harri Heliovaara de Finlandia llegan a las semifinales

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.