Hackers maliciosos, están explotando activamente dos vulnerabilidades no relacionadas (ambas con calificaciones de gravedad de 9,8 de 10 posibles) con el objetivo de infectar redes empresariales sensibles con puertas traseras, software de redes de bots y otras formas de malware.
Según investigadores de seguridad, los ataques en curso se dirigen a versiones sin parches de varias líneas de productos de VMware y del software BIG-IP de F5. Ambas vulnerabilidades dan a los atacantes la capacidad de ejecutar remotamente código malicioso o comandos que se ejecutan con privilegios de sistema raíz sin restricciones. Los exploits, en gran medida sin ningún tipo de coordinación, parecen ser maliciosos, a diferencia de los escaneos benignos que intentan identificar los servidores vulnerables y cuantificar su número.
En primer lugar: VMware
El 6 de abril, VMware reveló y parcheó una vulnerabilidad de ejecución remota de código rastreada como CVE-2022-22954 y un defecto de escalada de privilegios rastreado como CVE-2022-22960. "Los ciber agentes maliciosos fueron capaces de aplicar ingeniería inversa a las actualizaciones para desarrollar un exploit en un plazo de 48 horas y empezaron a explotar rápidamente las vulnerabilidades reveladas en los dispositivos no parcheados".
La CISA (Auditor Certificado de Sistemas de Información) dijo que los actores probablemente formaban parte de una amenaza persistente avanzada, un término que designa a grupos de hackers sofisticados y bien financiados, normalmente respaldados por el Estado. Una vez que los hackers han comprometido un dispositivo, utilizan su acceso root para instalar un webshell conocido como Dingo J-spy en las redes de al menos tres organizaciones.
"Según informes de terceros de confianza, los actores de la amenaza pueden encadenar estas vulnerabilidades. En una organización comprometida, el 12 de abril de 2022 o alrededor de esa fecha, un actor no autenticado con acceso a la red a la interfaz web aprovechó CVE-2022-22954 para ejecutar un comando shell arbitrario como usuario de VMware. A continuación, el actor aprovechó la CVE-2022-22960 para elevar los privilegios del usuario a root. Con el acceso de root, el actor podía borrar los registros, escalar los permisos y moverse lateralmente a otros sistemas."
El investigador de seguridad independiente Troy Mursch dijo en un mensaje directo que los exploits que ha capturado en un honeypot han incluido cargas útiles para software de botnets, webshells y criptomineros. El aviso de CISA llegó el mismo día en que VMware reveló y parcheó dos nuevas vulnerabilidades. Una de las vulnerabilidades, CVE-2022-22972, también tiene una calificación de gravedad de 9,8. La otra, CVE-2022-22973, tiene una calificación de 7,8.
Teniendo en cuenta los exploits ya en marcha para las vulnerabilidades de VMware corregidas el mes pasado, CISA dijo que "espera que los ciber actores maliciosos desarrollen rápidamente una capacidad para explotar las vulnerabilidades recién publicadas CVE-2022-22972 y CVE-2022-22973 en los mismos productos de VMware afectados".
BIG-IP también está en el punto de mira
Mientras tanto, las redes empresariales también están siendo atacadas por hackers que explotan la CVE-2022-1388, una vulnerabilidad no relacionada con la anterior con una calificación de gravedad de 9,8 encontrada en BIG-IP, un paquete de software de F5. Hace nueve días, la empresa reveló y parcheó la vulnerabilidad, que los hackers pueden aprovechar para ejecutar comandos con privilegios de root del sistema. El alcance y la magnitud de la vulnerabilidad suscitaron el asombro y la sorpresa en algunos círculos de seguridad y le valieron una calificación de gravedad elevada.
A los pocos días, el código de explotación se hizo público e inmediatamente, los investigadores informaron de intentos de explotación. No estaba claro entonces si los blackhats o los whitehats llevaban a cabo la actividad. Sin embargo, en días más recientes, los investigadores capturaron miles de solicitudes maliciosas que demuestran que una parte importante de los exploits se utiliza con fines nefastos. En un correo electrónico, los investigadores de la empresa de seguridad Greynoise escribieron:
“Dado que las solicitudes que implican este exploit requieren una solicitud POST y resultan en un shell de comando no autenticado en el dispositivo F5 Big-IP, hemos clasificado a los actores que utilizan este exploit como maliciosos. Hemos observado actores que utilizan este exploit a través de servicios de anonimato como VPNs o nodos de salida TOR, además de proveedores de VPS de Internet conocidos. Esperamos que los actores que intentan encontrar dispositivos vulnerables utilicen técnicas no invasivas que no impliquen una solicitud POST ni den lugar a un shell de comandos, que se catalogan en nuestra etiqueta para rastreadores F5 Big-IP: https://viz.greynoise.io/tag/f5-big-ip-crawler. Esta etiqueta de rastreadores experimentó un aumento de tráfico relacionado con la publicación de CVE-2022-1388.”
Mursch dijo que los exploits de BIG-IP intentan instalar el mismo trío de webshells, malware para realizar ataques de denegación de servicio distribuidos y criptomineros vistos en los ataques a máquinas VMware sin parchear. La imagen siguiente, por ejemplo, muestra un ataque que intenta instalar un malware DDoS ampliamente reconocido.
Las siguientes tres imágenes muestran a los hackers explotando la vulnerabilidad para ejecutar comandos que pescan claves de cifrado y otros tipos de datos sensibles almacenados en un servidor comprometido.
Dada la amenaza que suponen el ransomware y las campañas de hacking de estados nacionales como las utilizadas contra clientes de SolarWinds y Microsoft, el daño potencial de estas vulnerabilidades es considerable. Los administradores deben dar prioridad a la investigación de estas vulnerabilidades en sus redes y actuar en consecuencia.