CISA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes tres fallas a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de abuso activo en la naturaleza.

Entre los tres se incluye CVE-2022-24990 , un error que afecta a los dispositivos de almacenamiento conectado a la red (TNAS) de TerraMaster que podría conducir a la ejecución remota de código no autenticado con los privilegios más altos.

Los detalles sobre la falla fueron revelados por la firma etíope de investigación de seguridad cibernética Octagon Networks en marzo de 2022.

Se dice que la vulnerabilidad, según un aviso conjunto publicado por las autoridades gubernamentales de EE. UU. y Corea del Sur, fue armada por piratas informáticos del estado-nación de Corea del Norte para atacar a las entidades de infraestructura crítica y de atención médica con ransomware.

La segunda deficiencia que se agregará al catálogo de KEV es CVE-2015-2291 , una falla no especificada en el controlador de diagnóstico de Ethernet de Intel para Windows (IQVW32.sys e IQVW64.sys) que podría llevar a un dispositivo afectado a un estado de denegación de servicio. .

La explotación de CVE-2015-2291 en la naturaleza fue revelada por CrowdStrike el mes pasado, detallando un ataque Scattered Spider (también conocido como Roasted 0ktapus o UNC3944) que implicaba un intento de plantar una versión legítimamente firmada pero maliciosa del controlador vulnerable usando una táctica llamada Traiga su propio controlador vulnerable ( BYOVD ).

El objetivo, dijo la firma de ciberseguridad, era eludir el software de seguridad de punto final instalado en el host comprometido. El ataque finalmente fracasó.

El desarrollo destaca la creciente adopción de la técnica por parte de múltiples actores de amenazas, a saber, BlackByte , Earth Longzhi , Lazarus Group y OldGremlin , para potenciar sus intrusiones con privilegios elevados.

Por último, CISA también agregó una inyección de código remoto descubierta en la aplicación de transferencia de archivos administrada GoAnywhere MFT de Fortra ( CVE-2023-0669 ) al catálogo de KEV. Si bien los parches para la falla se lanzaron recientemente, la explotación se vinculó a un grupo de ciberdelincuencia afiliado a una operación de ransomware.

Huntress, en un análisis publicado a principios de esta semana, dijo que observó la cadena de infección que condujo al despliegue de TrueBot , un malware de Windows atribuido a un actor de amenazas conocido como Silence y que comparte conexiones con Evil Corp , un equipo ruso de cibercrimen que exhibe superposiciones tácticas con otro grupo motivado financieramente denominado TA505.

Dado que TA505 facilitó la implementación de Clop ransomware en el pasado, se sospecha que los ataques son un precursor de la implementación de malware de bloqueo de archivos en sistemas específicos.

Además, el blog de seguridad Bleeping Computer informó que el equipo del ransomware Clop se acercó a la publicación y afirmó haber explotado la falla para robar datos almacenados en los servidores comprometidos de más de 130 empresas.

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 3 de marzo de 2023 para proteger las redes contra amenazas activas.

Fuente y redacción: thehackernews.com

Compartir