BlueKeep es una vulnerabilidad de ejecución remota de código altamente crítica, modulable en gusano en los Servicios de Escritorio Remoto de Windows que podría permitir que un atacante remoto no autenticado tome el control total de los sistemas vulnerables con tan solo enviar solicitudes especialmente diseñadas a través del protocolo RDP.

Aunque los parches para la vulnerabilidad de BlueKeep (CVE – 2019-0708) ya fueron lanzados por Microsoft en mayo de este año, más de 800,000 máquinas con Windows accesibles a través de Internet todavía son vulnerables a la falla crítica.

Afortunadamente, incluso después de que muchas personas en la comunidad de seguridad desarrollaron explotaciones remotas de código de trabajo para BlueKeep, no hay ninguna vulnerabilidad pública de prueba de concepto (PoC) disponible hasta la fecha, lo que posiblemente impida que hackers oportunistas causen estragos.

Sin embargo, la empresa de ciberseguridad Immunity lanzó ayer una versión actualizada de su herramienta comercial automatizada de evaluación de vulnerabilidades y pruebas de penetración (VAPT), CANVAS 7.23, que incluye un nuevo módulo para el exploit de BlueKeep RDP.

Parece que los atacantes detrás de WatchBog están usando su red de botnet para preparar «una lista de sistemas vulnerables para atacar en el futuro o para vender a terceros para obtener ganancias», advirtieron los investigadores del Laboratorio Intezer , quienes descubrieron la nueva variante de WatchBog.

«La incorporación del escáner BlueKeep por una botnet Linux puede indicar que WatchBog está comenzando a explorar oportunidades financieras en una plataforma diferente», dijeron los investigadores.

El escáner BlueKeep incluido en WatchBog escanea Internet y luego envía la lista de hosts RDP recién descubiertos, como una cadena de datos hexadecimal cifrada mediante RC4, a los servidores controlados por el atacante.

 

explotar para la vulnerabilidad rdp bluekeep

 

Según el investigador, la nueva variante WatchBog ya ha comprometido más de 4.500 máquinas Linux en los últimos dos meses.

Aunque WatchBog está operando desde fines del año pasado, los atacantes están distribuyendo su nueva variante en una campaña en curso que está activa desde principios de junio de este año.

La variante WatchBog recién descubierta incluye un nuevo módulo de expansión junto con vulnerabilidades para algunas vulnerabilidades recientemente parcheadas en las aplicaciones de Linux, lo que permite a los atacantes encontrar y comprometer más sistemas de Linux rápidamente.

El malware botnet WatchBog Linux contiene varios módulos, como se explica estructuralmente a continuación, que aprovecha las vulnerabilidades recientemente parcheadas en las aplicaciones Exim, Jira, Solr, Jenkins, ThinkPHP y Nexus para comprometer las máquinas Linux.

Módulo Pwn

  • CVE-2019-11581 (Jira)
  • CVE-2019-10149 (Exim)
  • CVE-2019-0192 (Solr)
  • CVE-2018-1000861 (Jenkins)
  • CVE-2019-7238 (Nexus Repository Manager 3)

Módulo de escaneo

  • BlueKeep Scanner
  • Escáner Jira
  • Escáner Solr

Módulo de fuerza bruta

  • Instancias de CouchDB
  • Redis instancias

Módulo de difusión

  • Apache ActiveMQ (CVE-2016-3088)
  • Solr (CVE-2019-0192)
  • Ejecución de código sobre redis

Después de que los módulos de escaneo y de fuerza bruta descubran una máquina Linux que ejecuta la aplicación vulnerable, WatchBog implementa una secuencia de comandos en la máquina seleccionada para descargar los módulos de mineros de Monero desde el sitio web de Pastebin.

El script malicioso también gana persistencia en el sistema infectado a través de crontab y además descarga un nuevo módulo esparcidor, que se presenta en forma de un archivo ejecutable ELF compilado de forma dinámica por Cython.

Los investigadores han recomendado a los administradores de Linux y Windows que mantengan su software y sistemas operativos actualizados contra las vulnerabilidades conocidas para evitar ser víctimas de dichas campañas de ataque.

Puede encontrar si WatchBog ha infectado su máquina Linux verificando la existencia del archivo «/tmp/.tmplassstggzzzqpppppp12233333» o el archivo «/tmp/.gooobb» en su sistema.

Fuente: thehackernews.com

Compartir