Varios actores de amenazas est\u00e1n explotando fallas de seguridad cr\u00edticas en Cacti, Realtek e IBM Aspera Faspex en hacks dirigidos a sistemas sin parches.<\/p>\n
Esto implica el abuso de CVE-2022-46169<\/a> (puntuaci\u00f3n CVSS: 9,8) y CVE-2021-35394<\/a> (puntuaci\u00f3n CVSS: 9,8) para ofrecer MooBot y ShellBot (tambi\u00e9n conocido como PerlBot), Fortinet FortiGuard Labs dicho<\/a> en un informe publicado esta semana.<\/p>\n CVE-2022-46169 se relaciona con una omisi\u00f3n de autenticaci\u00f3n cr\u00edtica y una falla de inyecci\u00f3n de comandos en los servidores Cacti que permite que un usuario no autenticado ejecute c\u00f3digo arbitrario. CVE-2021-35394 tambi\u00e9n se refiere a una vulnerabilidad de inyecci\u00f3n de comando arbitraria que afecta al Realtek Jungle SDK que se parch\u00f3 en 2021.<\/p>\n Si bien este \u00faltimo se ha explotado anteriormente para distribuir botnets como Mirai, Gafgyt, Mozi y RedGoBot, el desarrollo marca la primera vez que se utiliza para implementar MooBot, una variante de Mirai que se sabe que est\u00e1 activa desde 2019.<\/p>\n La falla de Cacti, adem\u00e1s de aprovecharse para los ataques de MooBot, tambi\u00e9n se ha observado sirviendo cargas \u00fatiles de ShellBot desde enero de 2023, cuando sali\u00f3 a la luz el problema.<\/p>\n Se han detectado al menos tres versiones diferentes de ShellBot, a saber. PowerBots (C) GohacK, Modded perlbot v2 de LiGhT y B0tchZ 0.2a, los dos primeros de los cuales fueron revelados recientemente por AhnLab Security Emergency Response Center (ASEC).<\/p>\n Las tres variantes son capaces de organizar ataques distribuidos de denegaci\u00f3n de servicio (DDoS). PowerBots (C) GohacK y B0tchZ 0.2a tambi\u00e9n cuentan con capacidades de puerta trasera para realizar cargas\/descargas de archivos e iniciar un shell inverso.<\/p>\n “Las v\u00edctimas comprometidas pueden controlarse y usarse como bots DDoS despu\u00e9s de recibir un comando de un servidor C2”, dijo Cara Lin, investigadora de Fortinet. “Debido a que MooBot puede matar otros procesos de botnet y tambi\u00e9n implementar ataques de fuerza bruta, los administradores deben usar contrase\u00f1as seguras y cambiarlas peri\u00f3dicamente”.<\/p>\n Una tercera vulnerabilidad de seguridad que ha sido explotada activamente es CVE-2022-47986<\/a> (puntuaci\u00f3n CVSS: 9,8), un problema cr\u00edtico de deserializaci\u00f3n de YAML en la aplicaci\u00f3n de intercambio de archivos Aspera Faspex de IBM.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n El error, parcheado en diciembre de 2022 (versi\u00f3n 4.4.2 Nivel de parche 2<\/a>), ha sido cooptado por ciberdelincuentes en campa\u00f1as de ransomware asociadas con Buti<\/a> y IceFire desde febrero, poco despu\u00e9s del lanzamiento del exploit de prueba de concepto (PoC).<\/p>\n La empresa de ciberseguridad Rapid7, a principios de esta semana, revel\u00f3<\/a> que uno de sus clientes se vio comprometido por la falla de seguridad, lo que requiere que los usuarios se muevan r\u00e1pidamente para aplicar las correcciones para evitar riesgos potenciales.<\/p>\n “Debido a que este es t\u00edpicamente un servicio orientado a Internet y la vulnerabilidad se ha relacionado con la actividad del grupo de ransomware, recomendamos desconectar el servicio si no se puede instalar un parche de inmediato”, dijo la compa\u00f1\u00eda.<\/p>\n <\/p>\n![\"Vulnerabilidades](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680390632_919_Vulnerabilidades-de-Cacti-Realtek-e-IBM-Aspera-Faspex-bajo-explotacion.png\" "\\"Vulnerabilidades")
<\/div>\nExplotaci\u00f3n activa de IBM Aspera Faspex Flaw<\/h3>\n