Una falla de seguridad cr\u00edtica ahora parcheada que afecta a Atlassian Confluence Server que sali\u00f3 a la luz hace unos meses est\u00e1 siendo explotada activamente para la miner\u00eda il\u00edcita de criptomonedas en instalaciones sin parches.<\/p>\n
“Si no se soluciona y se explota con \u00e9xito, esta vulnerabilidad podr\u00eda usarse para m\u00faltiples y m\u00e1s ataques maliciosos, como una toma de dominio completa de la infraestructura y la implementaci\u00f3n de ladrones de informaci\u00f3n, troyanos de acceso remoto (RAT) y ransomware”, investigador de amenazas de Trend Micro. Sunil Bharti dijo<\/a> en un informe<\/p>\n El problema, rastreado como CVE-2022-26134 (puntaje CVSS: 9.8), fue abordado por la compa\u00f1\u00eda de software australiana en junio de 2022.<\/p>\n En una de las cadenas de infecci\u00f3n observadas por la empresa de ciberseguridad, se aprovech\u00f3 la falla para descargar y ejecutar un script de shell (“ro.sh”) en la m\u00e1quina de la v\u00edctima, que, a su vez, obtuvo un segundo script de shell (“ap.sh “).<\/p>\n El c\u00f3digo malicioso est\u00e1 dise\u00f1ado para actualizar el Variable de RUTA<\/a> para incluir rutas adicionales como “\/tmp”, descargar la utilidad cURL (si a\u00fan no est\u00e1 presente) desde un servidor remoto, deshabilitar el firewall de iptables, abusar de la falla PwnKit (CVE-2021-4034) para obtener privilegios de root y, en \u00faltima instancia, implementar el criptominero hezb.<\/p>\n Al igual que otros ataques de cryptojacking, el script de shell tambi\u00e9n finaliza a otros mineros de monedas de la competencia, desactiva los agentes del proveedor de servicios en la nube de Alibaba y Tencent, antes de realizar el movimiento lateral a trav\u00e9s de SSH.<\/p>\n Los hallazgos reflejan intentos de explotaci\u00f3n similares previamente revelados por encaje<\/a>Microsoft, Sophos y Akamai<\/a> en junio.<\/p>\n El an\u00e1lisis de Lacework muestra adem\u00e1s que el servidor de comando y control (C2) utilizado para recuperar el software cURL, as\u00ed como el minero hezb, tambi\u00e9n distribuy\u00f3 un binario ELF basado en Golang llamado “kik<\/a>” que permite que el malware elimine los procesos de inter\u00e9s.<\/p>\n Se recomienda a los usuarios que prioricen la reparaci\u00f3n de la falla, ya que los actores de amenazas podr\u00edan abusar de ella para otros fines nefastos.<\/p>\n “Los atacantes podr\u00edan aprovechar la inyecci\u00f3n de su propio c\u00f3digo para la interpretaci\u00f3n y obtener acceso al dominio de Confluence al que apuntan, as\u00ed como realizar ataques que van desde controlar el servidor para actividades maliciosas posteriores hasta da\u00f1ar la infraestructura misma”, dijo Bharti.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663836267_212_Los-piratas-informaticos-apuntan-a-los-servidores-Atlassian-Confluence-sin.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n