La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado tres fallas en sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, citando evidencia de abuso activo en la naturaleza.
Incluido entre los tres está CVE-2022-24990un error que afecta a los dispositivos de almacenamiento conectado a la red (TNAS) de TerraMaster que podría conducir a la ejecución remota de código no autenticado con los privilegios más altos.
Los detalles sobre la falla fueron revelados por la firma etíope de investigación de seguridad cibernética Octagon Networks en marzo de 2022.
Se dice que la vulnerabilidad, según un aviso conjunto publicado por las autoridades gubernamentales de EE. UU. y Corea del Sur, fue armada por piratas informáticos del estado-nación de Corea del Norte para atacar a las entidades de infraestructura crítica y de atención médica con ransomware.
La segunda deficiencia que se agregará al catálogo de KEV es CVE-2015-2291una falla no especificada en el controlador de diagnóstico de Ethernet de Intel para Windows (IQVW32.sys y IQVW64.sys) que podría llevar a un dispositivo afectado a un estado de denegación de servicio.
La explotación de CVE-2015-2291 en la naturaleza fue reveló por CrowdStrike el mes pasado, detallando un ataque Scattered Spider (también conocido como Roasted 0ktapus o UNC3944) que implicaba un intento de plantar una versión legítimamente firmada pero maliciosa del controlador vulnerable usando una táctica llamada Bring Your Own Vulnerable Driver (BYOVD).
El objetivo, dijo la firma de ciberseguridad, era eludir el software de seguridad de punto final instalado en el host comprometido. El ataque finalmente fracasó.
El desarrollo destaca la creciente adopción de la técnica por parte de múltiples actores de amenazas, a saber, BlackByte, Earth Longzhi, Lazarus Group y OldGremlin, para potenciar sus intrusiones con privilegios elevados.
Por último, CISA también ha agregado una inyección de código remota descubierta en la aplicación de transferencia de archivos administrada GoAnywhere MFT de Fortra (CVE-2023-0669) al catálogo de KEV. Si bien los parches para la falla se lanzaron recientemente, la explotación se vinculó a un grupo de ciberdelincuencia afiliado a una operación de ransomware.
Cazadora, en un análisis publicado a principios de esta semana, dijo que observó la cadena de infección que condujo al despliegue de TrueBot, un malware de Windows atribuido a un actor de amenazas conocido como Silence y que comparte conexiones con Evil Corp, un equipo ruso de ciberdelincuencia que exhibe superposiciones tácticas con TA505.
Con TA505 facilitando el despliegue de Clop ransomware en el pasado, se sospecha que los ataques son un precursor del despliegue de malware de bloqueo de archivos en sistemas objetivo.
Además, el blog de seguridad Bleeping Computer reportado que el equipo del ransomware Clop se acercó a la publicación y afirmó haber explotado la falla para robar datos almacenados en los servidores comprometidos de más de 130 empresas.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 3 de marzo de 2023 para proteger las redes contra amenazas activas.