{"id":1162785,"date":"2024-02-01T08:33:31","date_gmt":"2024-02-01T08:33:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/advertencia-surge-nuevo-malware-en-ataques-que-explotan-las-vulnerabilidades-de-ivanti-vpn\/"},"modified":"2024-02-01T08:33:35","modified_gmt":"2024-02-01T08:33:35","slug":"advertencia-surge-nuevo-malware-en-ataques-que-explotan-las-vulnerabilidades-de-ivanti-vpn","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/advertencia-surge-nuevo-malware-en-ataques-que-explotan-las-vulnerabilidades-de-ivanti-vpn\/","title":{"rendered":"Advertencia: surge nuevo malware en ataques que explotan las vulnerabilidades de Ivanti VPN"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad de red\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Mandiant, propiedad de Google, dijo que identific\u00f3 un nuevo malware empleado por un actor de amenazas de espionaje del nexo con China conocido como UNC5221 y otros grupos de amenazas durante la actividad posterior a la explotaci\u00f3n dirigida a dispositivos Ivanti Connect Secure VPN y Policy Secure.<\/p>\n

Esto incluye shells web personalizados como BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.<\/p>\n

“CHAINLINE es una puerta trasera de shell web de Python que est\u00e1 integrada en un paquete Ivanti Connect Secure Python que permite la ejecuci\u00f3n de comandos arbitrarios”, dijo la empresa. dicho<\/a>atribuy\u00e9ndolo a UNC5221, agregando que tambi\u00e9n detect\u00f3 m\u00faltiples versiones nuevas de WARPWIRE, un ladr\u00f3n de credenciales basado en JavaScript.<\/p>\n

Las cadenas de infecci\u00f3n implican una explotaci\u00f3n exitosa de CVE-2023-46805 y CVE-2024-21887, que permiten a un actor de amenazas no autenticado ejecutar comandos arbitrarios en el dispositivo Ivanti con privilegios elevados.<\/p>\n

\"La<\/a><\/center><\/div>\n

Desde principios de diciembre de 2023 se ha abusado de los fallos como de d\u00eda cero. Oficina Federal de Seguridad de la Informaci\u00f3n (BSI) de Alemania dicho<\/a> est\u00e1 al tanto de “m\u00faltiples sistemas comprometidos” en el pa\u00eds.<\/p>\n

BUSHWALK, escrito en Perl e implementado eludiendo las mitigaciones emitidas por Ivanti en ataques altamente dirigidos, est\u00e1 integrado en un archivo Connect Secure leg\u00edtimo llamado “querymanifest.cgi” y ofrece la capacidad de leer o escribir archivos en un servidor. <\/p>\n

Por otro lado, FRAMESTING es un shell web de Python integrado en un paquete Ivanti Connect Secure Python (ubicado en la siguiente ruta “\/home\/venv3\/lib\/python3.6\/site-packages\/cav-0.1-py3.6.egg \/cav\/api\/resources\/category.py”) que permite la ejecuci\u00f3n de comandos arbitrarios.<\/p>\n

El an\u00e1lisis de Mandiant de la puerta trasera pasiva ZIPLINE tambi\u00e9n ha descubierto el uso de “amplia funcionalidad para garantizar la autenticaci\u00f3n de su protocolo personalizado utilizado para establecer comando y control (C2)”.<\/p>\n

Adem\u00e1s, los ataques se caracterizan por el uso de utilidades de c\u00f3digo abierto como Paquete<\/a>, CrackMapExec<\/a>, yodo<\/a>y Enum4linux<\/a> para respaldar la actividad posterior a la explotaci\u00f3n en los dispositivos Ivanti CS, incluido el reconocimiento de red, el movimiento lateral y la filtraci\u00f3n de datos dentro de los entornos de las v\u00edctimas.<\/p>\n

\"La<\/a><\/center><\/div>\n

Desde entonces, Ivanti ha revelado dos fallos de seguridad m\u00e1s, CVE-2024-21888 y CVE-2024-21893, el \u00faltimo de los cuales ha sido objeto de explotaci\u00f3n activa dirigida a un “n\u00famero limitado de clientes”. La compa\u00f1\u00eda tambi\u00e9n lanz\u00f3 la primera ronda de correcciones para abordar las cuatro vulnerabilidades.<\/p>\n

Se dice que UNC5221 apunta a una amplia gama de industrias que son de inter\u00e9s estrat\u00e9gico para China, y su infraestructura y herramientas se superponen con intrusiones pasadas vinculadas a actores de espionaje con sede en China.<\/p>\n

“Las herramientas basadas en Linux identificadas en las investigaciones de respuesta a incidentes utilizan c\u00f3digo de m\u00faltiples repositorios Github en idioma chino”, dijo Mandiant. “UNC5221 ha aprovechado en gran medida los TTP asociados con la explotaci\u00f3n de d\u00eda cero de la infraestructura de borde por parte de actores sospechosos del nexo con la Rep\u00fablica Popular China”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n