Se ha observado que los actores de amenazas explotan múltiples fallas de seguridad en varios productos de software, incluida la interfaz de usuario de Progress Telerik para ASP.NET AJAX y Advantive Veracore, para soltar capas inversas y conchas web, y mantener un acceso remoto persistente a los sistemas comprometidos.
La explotación del día cero de fallas de seguridad en Veracore se ha atribuido a un actor de amenaza conocido como XE Group, un grupo de delitos cibernéticos probables de origen vietnamita que se sabe que está activo desde al menos 2010.
“El grupo XE hizo la transición de la tarjeta de crédito al robo de información dirigida, marcando un cambio significativo en sus prioridades operativas”, la firma de seguridad cibernética Intezer dicho En un informe publicado en colaboración con Solis Security.
“Sus ataques ahora dirigen las cadenas de suministro en los sectores de fabricación y distribución, aprovechando nuevas vulnerabilidades y tácticas avanzadas”.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2024-57968 (Puntuación CVSS: 9.9): una carga sin restricciones de archivos con una vulnerabilidad de tipo peligroso que permite a los usuarios autenticados remotos cargar archivos a carpetas no deseadas (fijado en Veracode versión 2024.4.2.1)
- CVE-2025-25181 (Puntuación CVSS: 5.8) – Una vulnerabilidad de inyección SQL que permite a los atacantes remotos ejecutar comandos SQL arbitrarios (sin parche disponible)
Los últimos hallazgos de Intezer y Solis Security muestran que las deficiencias están siendo encadenadas para implementar Aspxspy Conchas web para acceso no autorizado a sistemas infectados, en una instancia aprovechando CVE-2025-25181 a principios de 2020. La actividad de explotación se descubrió en noviembre de 2024.
Los shells web vienen equipados con capacidades para enumerar el sistema de archivos, exfiltrados los archivos y comprimirlos utilizando herramientas como 7Z. El acceso también está abusado de soltar una carga útil de meterpreter que intente conectarse a un servidor controlado por el actor (“222.253.102[.]94: 7979 “) a través de un enchufe de Windows.
La variante actualizada del shell web también incorpora una variedad de características para facilitar el escaneo de red, la ejecución de comandos y la ejecución de consultas SQL para extraer información crítica o modificar los datos existentes.
Mientras que los ataques anteriores montados por Xe Group han armado vulnerabilidades conocidas, a saber, fallas en la interfaz de usuario de Telerik para ASP.NET (CVE-2017-9248 y CVE-2019-18935Puntajes CVSS: 9.8), el desarrollo marca la primera vez que la tripulación de piratería se atribuye a la explotación del día cero, lo que indica un aumento en la sofisticación.
“Su capacidad para mantener el acceso persistente a los sistemas, como se ve con la reactivación de un shell web años después del despliegue inicial, destaca el compromiso del grupo con los objetivos a largo plazo”, dijeron los investigadores Nicole Fishbein, Joakim Kennedy y Justin Lentz.
“Al dirigirse a las cadenas de suministro en los sectores de fabricación y distribución, el grupo XE no solo maximiza el impacto de sus operaciones, sino que también demuestra una comprensión aguda de las vulnerabilidades sistémicas”.
CVE-2019-18935, que fue marcado por las agencias gubernamentales del Reino Unido y EE. UU. En 2021 como una de las vulnerabilidades más explotadas, también ha sido objeto de una explotación activa tan recientemente como el mes pasado para cargar un shell inverso y ejecutar comandos de reconocimiento de seguimiento a través de CMD .exe.
“Si bien la vulnerabilidad en progreso de la interfaz de usuario de Telerik para ASP.NET Ajax tiene varios años, sigue siendo un punto de entrada viable para los actores de amenaza”, esentire dicho. “Esto resalta la importancia de los sistemas de parcheo, especialmente si van a estar expuestos a Internet”.
CISA agrega 5 fallas al catálogo KEV
El desarrollo se produce como la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregado Cinco defectos de seguridad a sus vulnerabilidades explotadas conocidas (Kev) catálogo, basado en evidencia de explotación activa.
- CVE-2025-0411 (Puntuación CVSS: 7.0) – Marca de 7 zip de la vulnerabilidad de bypass web
- CVE-2022-23748 (Puntuación CVSS: 7.8) – Vulnerabilidad de control de procesos de descubrimiento de Dante
- CVE-2024-21413 (Puntuación CVSS: 9.8) – Vulnerabilidad de validación de entrada inadecuada de Microsoft Outlook
- CVE-2020-29574 (Puntuación CVSS: 9.8) – Vulnerabilidad de inyección Cyberoamos (CROS) SQL
- CVE-2020-15069 (Puntuación CVSS: 9.8) – Vulnerabilidad de desbordamiento de búfer de firewall Sophos XG
La semana pasada, Trend Micro reveló que los trajes de ciberdrímes rusos están explotando CVE-2025-0411 para distribuir el malware Smokeloader como parte de campañas de phishing de lanza dirigidas a entidades ucranianas.
La explotación de CVE-2020-29574 y CVE-2020-15069, por otro lado, ha sido vinculada a una campaña de espionaje china rastreada por Sophos bajo el moniker Pacific Rim.
Actualmente no hay informes sobre cómo CVE-2024-21413, también rastreado como MonikerLink por Check Point, está siendo explotado en la naturaleza. En cuanto a CVE-2022-23748, la compañía de seguridad cibernética revelado A finales de 2022, observó al actor de amenaza de Toddycat que aprovecha una vulnerabilidad de carga lateral de DLL en Audinate Descubrimiento de Dante (“mdnsesponder.exe”).
Rama ejecutiva civil federal (Fceb) Las agencias tienen el mandato de aplicar las actualizaciones necesarias antes del 27 de febrero de 2025, bajo la Directiva Operativa vinculante (BOD) 22-01 para salvaguardar contra las amenazas activas.
About the Author
