Nueva ola de ciberataques dirigidos a servidores MS Exchange con exploit activo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ciberdelincuentes están aprovechando dos cadenas de exploits (ProxyNotShell/OWASSRF) para apuntar a los servidores de Microsoft Exchange, según lo advertido por Bitdefender Labs.

La mayoría de los ataques ocurrieron en los EE. UU. en noviembre de 2022, pero también fueron atacadas algunas organizaciones en Austria, Polonia y Turquía.
Bitdefender Labs ha compartido sus hallazgos sobre una nueva ola de ataques cibernéticos no dirigidos en los que los atacantes abusan de dos cadenas de exploits para apuntar a servidores MS Exchange locales.

Revisión de hallazgos

Bitdefender señaló que, a fines de noviembre de 2022, hubo un aumento en los ataques que aprovecharon dos cadenas de exploits identificadas como ProxyNotShell y OWASSRF para apuntar a los servidores de MS Exchange. Los investigadores descubrieron que los ciberdelincuentes prefieren explotar los servidores Exchange locales 2013, 2016 y 2019.

Vulnerabilidades explicadas

Los atacantes utilizan dos tácticas en sus nuevos ataques contra los servidores de MS Exchange.

- La primera es la vulnerabilidad ProxyNotShell, una combinación de dos vulnerabilidades ya reveladas rastreadas como CVE-2022-41082 y CVE-2022-41080. Requiere que los actores de amenazas se autentiquen en el servidor vulnerable; esta vulnerabilidad fue parcheada en noviembre de 2022.

- OWASSRF es la otra vulnerabilidad explotada en esta cadena de ataque. Este exploit utiliza las mismas dos vulnerabilidades, pero de forma diferente. Es capaz de eludir las soluciones de mitigación de ProxyNotShell; se utilizó en el ataque de Rackspace en diciembre de 2022.

Detalles del ataque

Técnicamente, el ataque se denomina falsificación de solicitudes del lado del servidor/SSRF. Permite a los actores de amenazas enviar una solicitud especialmente diseñada desde un servidor vulnerable a otro servidor para acceder a los recursos y cumplir sus objetivos maliciosos en el servidor vulnerable.

El uso de las dos vulnerabilidades permitirá al atacante llevar a cabo la ejecución remota de código si tiene las credenciales de inicio de sesión. No necesariamente tienen que ser administradores para realizar las acciones deseadas, ya que se puede usar cualquier cuenta.

Microsoft corrigió estas vulnerabilidades el 30 de septiembre y el 8 de noviembre de 2022. Esto significa que solo las empresas que aún no han reparado sus sistemas están en riesgo. La mayoría de los ataques, según la publicación del blog de Bitdefender, ocurrieron en los EE. UU. en noviembre de 2022, pero también se dirigieron a algunas organizaciones en Austria, Polonia y Turquía.

Los atacantes se dirigen a empresas de varios sectores, incluidas firmas de abogados y de corretaje, bienes raíces, firmas de consultoría y mayoristas. Hasta el momento, más de 100 000 organizaciones en todo el mundo han sido objeto de ataques SSRF.

¿Qué es el ataque SSRF?

Los ataques SSRF son cada vez más populares entre los ciberdelincuentes porque, si una aplicación web es vulnerable a SSRF, el atacante puede enviar una solicitud desde el servidor vulnerable a cualquier recurso de la red local al que el atacante no pueda acceder de otro modo. De lo contrario, el atacante enviaría una solicitud a un servidor externo, por ejemplo, una plataforma en la nube, para realizar acciones específicas en nombre del servidor vulnerable.

Más detalles técnicos y sobre el exploit:
Bitdefender
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente:
Bitdefender
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Vía:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta