Varios actores de amenazas están explotando fallas de seguridad críticas en Cacti, Realtek e IBM Aspera Faspex en hacks dirigidos a sistemas sin parches.
Esto implica el abuso de CVE-2022-46169 (puntuación CVSS: 9,8) y CVE-2021-35394 (puntuación CVSS: 9,8) para ofrecer MooBot y ShellBot (también conocido como PerlBot), Fortinet FortiGuard Labs dicho en un informe publicado esta semana.
CVE-2022-46169 se relaciona con una omisión de autenticación crítica y una falla de inyección de comandos en los servidores Cacti que permite que un usuario no autenticado ejecute código arbitrario. CVE-2021-35394 también se refiere a una vulnerabilidad de inyección de comando arbitraria que afecta al Realtek Jungle SDK que se parchó en 2021.
Si bien este último se ha explotado anteriormente para distribuir botnets como Mirai, Gafgyt, Mozi y RedGoBot, el desarrollo marca la primera vez que se utiliza para implementar MooBot, una variante de Mirai que se sabe que está activa desde 2019.
La falla de Cacti, además de aprovecharse para los ataques de MooBot, también se ha observado sirviendo cargas útiles de ShellBot desde enero de 2023, cuando salió a la luz el problema.
Se han detectado al menos tres versiones diferentes de ShellBot, a saber. PowerBots (C) GohacK, Modded perlbot v2 de LiGhT y B0tchZ 0.2a, los dos primeros de los cuales fueron revelados recientemente por AhnLab Security Emergency Response Center (ASEC).
Las tres variantes son capaces de organizar ataques distribuidos de denegación de servicio (DDoS). PowerBots (C) GohacK y B0tchZ 0.2a también cuentan con capacidades de puerta trasera para realizar cargas/descargas de archivos e iniciar un shell inverso.
«Las víctimas comprometidas pueden controlarse y usarse como bots DDoS después de recibir un comando de un servidor C2», dijo Cara Lin, investigadora de Fortinet. «Debido a que MooBot puede matar otros procesos de botnet y también implementar ataques de fuerza bruta, los administradores deben usar contraseñas seguras y cambiarlas periódicamente».
Explotación activa de IBM Aspera Faspex Flaw
Una tercera vulnerabilidad de seguridad que ha sido explotada activamente es CVE-2022-47986 (puntuación CVSS: 9,8), un problema crítico de deserialización de YAML en la aplicación de intercambio de archivos Aspera Faspex de IBM.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
El error, parcheado en diciembre de 2022 (versión 4.4.2 Nivel de parche 2), ha sido cooptado por ciberdelincuentes en campañas de ransomware asociadas con Buti y IceFire desde febrero, poco después del lanzamiento del exploit de prueba de concepto (PoC).
La empresa de ciberseguridad Rapid7, a principios de esta semana, reveló que uno de sus clientes se vio comprometido por la falla de seguridad, lo que requiere que los usuarios se muevan rápidamente para aplicar las correcciones para evitar riesgos potenciales.
«Debido a que este es típicamente un servicio orientado a Internet y la vulnerabilidad se ha relacionado con la actividad del grupo de ransomware, recomendamos desconectar el servicio si no se puede instalar un parche de inmediato», dijo la compañía.