Fortra, la compa\u00f1\u00eda detr\u00e1s de Cobalt Strike, arroj\u00f3 luz sobre una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) de d\u00eda cero en su herramienta GoAnywhere MFT que ha sido explotada activamente por actores de ransomware para robar datos confidenciales.<\/p>\n
La falla de alta gravedad, rastreada como CVE-2023-0669<\/a> (puntuaci\u00f3n CVSS: 7.2), se refiere a un caso de inyecci\u00f3n de comando autenticado previamente que podr\u00eda abusarse para lograr la ejecuci\u00f3n del c\u00f3digo. La empresa solucion\u00f3 el problema en la versi\u00f3n 7.1.2 del software en febrero de 2023, pero no antes de que se armara como un d\u00eda cero desde el 18 de enero.<\/p>\n Fortra, que trabaj\u00f3 con la Unidad 42 de Palo Alto Networks, dijo que se enter\u00f3 de actividad sospechosa asociada con algunas de las instancias de transferencia de archivos el 30 de enero de 2023.<\/p>\n “La parte no autorizada us\u00f3 CVE-2023-0669 para crear cuentas de usuario no autorizadas en algunos entornos de clientes de MFTaaS”, dijo la empresa. dicho<\/a>. “Para un subconjunto de estos clientes, la parte no autorizada aprovech\u00f3 estas cuentas de usuario para descargar archivos de sus entornos MFTaaS alojados”.<\/p>\n El actor de amenazas abus\u00f3 a\u00fan m\u00e1s de la falla para implementar dos herramientas adicionales, denominadas “Netcat<\/a>” y “Errors.jsp”, entre el 28 de enero de 2023 y el 31 de enero de 2023, aunque se dice que no todos los intentos de instalaci\u00f3n han tenido \u00e9xito.<\/p>\n Fortra dijo que contact\u00f3 directamente a los clientes afectados y que no ha encontrado ninguna se\u00f1al de acceso no autorizado a los sistemas de los clientes que han sido reabastecidos en un “entorno MFTaaS limpio y seguro”.<\/p>\n Si bien Netcat es un programa leg\u00edtimo para administrar la lectura y escritura de datos en una red, actualmente no se sabe c\u00f3mo archivo JSP<\/a> fue utilizado en los ataques.<\/p>\n La investigaci\u00f3n tambi\u00e9n encontr\u00f3 que CVE-2023-0669 fue explotado contra una peque\u00f1a cantidad de implementaciones en las instalaciones que ejecutan una configuraci\u00f3n espec\u00edfica de la soluci\u00f3n GoAnywhere MFT.<\/p>\n Como mitigaciones, la empresa recomienda que los usuarios cambien la clave maestra de cifrado, restablezcan todas las credenciales, revisen los registros de auditor\u00eda y eliminen las cuentas de administrador o usuario sospechosas.<\/p>\n El desarrollo viene como Malwarebytes<\/a> y Grupo CNC<\/a> inform\u00f3 un aumento en los ataques de ransomware durante el mes de marzo, impulsado en gran medida por la explotaci\u00f3n activa de la vulnerabilidad GoAnywhere MFT.<\/p>\n Solo el mes pasado se registraron un total de 459 ataques, un aumento del 91 % desde febrero de 2023 y un salto del 62 % en comparaci\u00f3n con marzo de 2022.<\/p>\n Defi\u00e9ndase con el enga\u00f1o: avanzando en la seguridad de confianza cero<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n