{"id":927848,"date":"2023-08-30T11:44:49","date_gmt":"2023-08-30T11:44:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-juniper-firewalls-openfire-y-apache-rocketmq-bajo-ataque-de-nuevos-exploits\/"},"modified":"2023-08-30T11:44:52","modified_gmt":"2023-08-30T11:44:52","slug":"alerta-juniper-firewalls-openfire-y-apache-rocketmq-bajo-ataque-de-nuevos-exploits","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-juniper-firewalls-openfire-y-apache-rocketmq-bajo-ataque-de-nuevos-exploits\/","title":{"rendered":"Alerta: Juniper Firewalls, Openfire y Apache RocketMQ bajo ataque de nuevos exploits"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Las fallas de seguridad reveladas recientemente que afectan los firewalls de Juniper, los servidores Openfire y Apache RocketMQ han sido objeto de explotaci\u00f3n activa en la naturaleza, seg\u00fan m\u00faltiples informes.<\/p>\n<p>La Fundaci\u00f3n Shadowserver <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/Shadowserver\/status\/1696512418036486246\" target=\"_blank\">dicho<\/a> que est\u00e1 &#8220;viendo intentos de explotaci\u00f3n desde m\u00faltiples IP para Juniper J-Web CVE-2023-36844 (y amigos) dirigidos al punto final \/webauth_operation.php&#8221;, el mismo d\u00eda que estuvo disponible una prueba de concepto (PoC).<\/p>\n<p>Los problemas, identificados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 y CVE-2023-36847, residen en el componente J-Web de Junos OS en Juniper SRX y EX Series.  Un atacante no autenticado basado en la red podr\u00eda encadenarlos para ejecutar c\u00f3digo arbitrario en instalaciones susceptibles.<\/p>\n<p>Los parches para la falla se lanzaron el 17 de agosto de 2023, una semana despu\u00e9s de la cual watchTowr Labs public\u00f3 una prueba de concepto (PoC) combinando CVE-2023-36846 y CVE-2023-36845 para ejecutar un archivo PHP que contiene c\u00f3digo shell malicioso.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-NodeStealer-Targeting-Facebook-Business-Accounts-and-Crypto-Wallets.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Actualmente, hay <a rel=\"nofollow noopener\" href=\"https:\/\/dashboard.shadowserver.org\/statistics\/iot-devices\/tree\/?day=2023-08-29&amp;geo=all&amp;data_set=count&amp;scale=log\" target=\"_blank\">m\u00e1s de 8.200 dispositivos Juniper<\/a> que tienen sus interfaces J-Web expuestas a Internet, la mayor\u00eda de ellos de Corea del Sur, Estados Unidos, Hong Kong, Indonesia, Turqu\u00eda e India.<\/p>\n<h3>Kinsing explota la vulnerabilidad de Openfire<\/h3>\n<p>Otra vulnerabilidad que los actores de amenazas han utilizado como arma es CVE-2023-32315, un error de recorrido de ruta de alta gravedad en la consola administrativa de Openfire que podr\u00eda aprovecharse para la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>&#8220;Esta falla permite que un usuario no autorizado explote el entorno de configuraci\u00f3n de Openfire no autenticado dentro de una configuraci\u00f3n de Openfire establecida&#8221;, dijo la firma de seguridad en la nube Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/kinsing-malware-exploits-novel-openfire-vulnerability\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Como resultado, un actor de amenazas obtiene acceso a los archivos de configuraci\u00f3n de administrador que normalmente est\u00e1n restringidos dentro de la Consola de administraci\u00f3n de Openfire. A continuaci\u00f3n, el actor de amenazas puede elegir entre agregar un usuario administrador a la consola o cargar un complemento que eventualmente permitir\u00e1 el acceso completo. control sobre el servidor.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693395886_432_Alerta-Juniper-Firewalls-Openfire-y-Apache-RocketMQ-bajo-ataque-de.jpg\" alt=\"linux\" border=\"0\" data-original-height=\"287\" data-original-width=\"728\" title=\"linux\"\/><\/div>\n<p>Actores de amenazas asociados con el <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/20\/k\/analysis-of-kinsing-malwares-use-of-rootkit.html\" target=\"_blank\">Botnet de malware Kinsing<\/a> Se ha observado que utilizan la falla para crear un nuevo usuario administrador y cargar un archivo JAR, que contiene un archivo llamado cmd.jsp que act\u00faa como un shell web para colocar y ejecutar el malware y un minero de criptomonedas.<\/p>\n<p>Aqua dijo que encontr\u00f3 6.419 servidores conectados a Internet con el servicio Openfire en ejecuci\u00f3n, y la mayor\u00eda de las instancias se encuentran en China, Estados Unidos y Brasil.<\/p>\n<h3>Vulnerabilidad de Apache RocketMQ atacada por la botnet DreamBus<\/h3>\n<p>En una se\u00f1al de que los actores de amenazas siempre est\u00e1n buscando nuevas fallas para explotar, se ha observado que una versi\u00f3n actualizada del malware botnet DreamBus aprovecha una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo de gravedad cr\u00edtica en los servidores RocketMQ para comprometer dispositivos.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/blogs.juniper.net\/en-us\/threat-research\/cve-2023-33246-apache-rocketmq-remote-code-execution-vulnerability\" target=\"_blank\">CVE-2023-33246<\/a>como se cataloga el problema, es una falla de ejecuci\u00f3n remota de c\u00f3digo que afecta a las versiones 5.1.0 e inferiores de RocketMQ y que permite a un atacante no autenticado ejecutar comandos con el mismo nivel de acceso que el proceso de usuario del sistema.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693395887_662_Alerta-Juniper-Firewalls-Openfire-y-Apache-RocketMQ-bajo-ataque-de.jpg\" alt=\"linux\" border=\"0\" data-original-height=\"303\" data-original-width=\"728\" title=\"linux\"\/><\/div>\n<p>En los ataques detectados por Juniper Threat Labs desde el 19 de junio de 2023, la explotaci\u00f3n exitosa de la falla allana el camino para la implementaci\u00f3n de un script bash llamado &#8220;reketed&#8221;, que act\u00faa como descargador de la botnet DreamBus desde un servicio oculto TOR.<\/p>\n<p>DreamBus es un <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/dreambus-botnet\" target=\"_blank\">Malware basado en Linux<\/a> es una variante de SystemdMiner y est\u00e1 dise\u00f1ada para extraer criptomonedas en sistemas infectados.  Activo desde principios de 2019, se sabe que se propaga explotando espec\u00edficamente vulnerabilidades de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>&#8220;Como parte de la rutina de instalaci\u00f3n, el malware finaliza procesos y elimina archivos asociados con versiones obsoletas de s\u00ed mismo&#8221;, afirma el investigador de seguridad Paul Kimayong. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.juniper.net\/en-us\/threat-research\/dreambus-botnet-resurfaces-targets-rocketmq-vulnerability\" target=\"_blank\">dicho<\/a>agregarlo configura la persistencia en el host mediante un trabajo cron.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-Version-of-Rilide-Data-Theft-Malware-Adapts-to-Chrome.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Sin embargo, la presencia de un robot modular como el malware DreamBus equipado con la capacidad de ejecutar scripts bash proporciona a estos ciberdelincuentes el potencial de diversificar su repertorio de ataques, incluida la instalaci\u00f3n de otras formas de malware&#8221;.<\/p>\n<h3>Explotaci\u00f3n de VPN SSL de Cisco ASA para implementar Akira Ransomware<\/h3>\n<p>Los acontecimientos se producen en medio de la empresa de ciberseguridad Rapid7. <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2023\/08\/29\/under-siege-rapid7-observed-exploitation-of-cisco-asa-ssl-vpns\/\" target=\"_blank\">advertencia<\/a> de un aumento en la actividad de amenazas que se remonta a marzo de 2023 y que apunta a dispositivos VPN SSL de Cisco ASA para implementar el ransomware Akira.<\/p>\n<p>Si bien algunos casos han implicado el uso de relleno de credenciales, la actividad en otros &#8220;parece ser el resultado de ataques dirigidos de fuerza bruta a dispositivos ASA donde la autenticaci\u00f3n multifactor (MFA) no estaba habilitada o no se aplicaba para todos los usuarios&#8221;. dijo la empresa.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693395888_598_Alerta-Juniper-Firewalls-Openfire-y-Apache-RocketMQ-bajo-ataque-de.jpg\" alt=\"Cortafuegos Juniper, Openfire y Apache RocketMQ\" border=\"0\" data-original-height=\"206\" data-original-width=\"728\" title=\"Cortafuegos Juniper, Openfire y Apache RocketMQ\"\/><\/div>\n<p>Cisco ha reconocido la <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.cisco.com\/security\/akira-ransomware-targeting-vpns-without-multi-factor-authentication\" target=\"_blank\">ataques<\/a>se\u00f1alando que los actores de amenazas tambi\u00e9n podr\u00edan estar comprando credenciales robadas de la web oscura para infiltrarse en las organizaciones.<\/p>\n<p>Esta hip\u00f3tesis se ve reforzada por el hecho de que a principios de febrero se observ\u00f3 a un corredor de acceso inicial conocido como Bassterlord vendiendo una gu\u00eda sobre c\u00f3mo irrumpir en redes corporativas en foros clandestinos.<\/p>\n<p>&#8220;En particular, el autor afirm\u00f3 que hab\u00edan comprometido 4.865 servicios VPN SSL de Cisco y 9.870 servicios VPN de Fortinet con la prueba de combinaci\u00f3n de nombre de usuario\/contrase\u00f1a: prueba&#8221;, dijo Rapid7.<\/p>\n<p>&#8220;Es posible que, dado el momento de la discusi\u00f3n sobre la web oscura y el aumento de la actividad de amenazas que observamos, las instrucciones del manual hayan contribuido al aumento de los ataques de fuerza bruta dirigidos a las VPN de Cisco ASA&#8221;.<\/p>\n<p>Las revelaciones tambi\u00e9n llegan cuando los dispositivos Citrix NetScaler ADC y Gateway sin parches corren un mayor riesgo de sufrir ataques oportunistas por parte de actores de ransomware que utilizan una falla cr\u00edtica en los productos para eliminar shells web y otras cargas \u00fatiles.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/alert-juniper-firewalls-openfire-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las fallas de seguridad reveladas recientemente que afectan los firewalls de Juniper, los servidores Openfire y Apache RocketMQ<\/p>\n","protected":false},"author":1,"featured_media":927849,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5172,42964,1247,4661,5200,4664,29391,4662,131748,90876,4668,201033,4654,201031,4659,4653,4655,2431,201240,202297,4666,4665,201032,4660],"class_list":["post-927848","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alerta","tag-apache","tag-ataque","tag-ataques-ciberneticos","tag-bajo","tag-como-hackear","tag-exploits","tag-filtracion-de-datos","tag-firewalls","tag-juniper","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-openfire","tag-rocketmq","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/927848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=927848"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/927848\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/927849"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=927848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=927848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=927848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}