Grupos de Ransomware están explotando vulnerabilidad crítica de IBM

Recientemente se dio a conocer que ciberactores están explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM instalando ransomware en servidores.

A fines de enero de 2023, IBM advirtió sobre una vulnerabilidad crítica en Aspera e instó a los usuarios a instalar una actualización para corregir la falla. Rastreada como CVE-2022-47986 con severidad 9.8 CVSSv3.

Según diferentes investigadores esta vulnerabilidad está siendo explotada activamente, distribuyendo diferentes ransomwares como IceFire y Buhti.

• Para más información sobre IceFire visitar: Campaña activa de Ransomware IceFire contra Sistemas Linux

Buhti Ransomware 

Este ransomware se dio a conocer aproximadamente en febrero de 2023 el cual está escrito en Golang y apunta a la plataforma Linux. 

Al ser relativamente nuevo no se cuenta con mayor información sobre el ransomware. Este cifra los archivos con la extensión .buhti. El ransomware usa la página de pago SatoshiDisk[.]com, el cual es un sitio de soporte de pago de bitcoin actualmente alojado en Cloudflare IP.

IBM Aspera Faspex

IBM Aspera Faspex es una aplicación de intercambio de archivos basada en IBM Aspera High-Speed ​​Transfer Server como una solución de transferencia centralizada. Con una GUI basada en web, Faspex ofrece opciones de administración avanzadas para transferencias de alta velocidad FASP que se adaptan al flujo de trabajo de su organización

Vulnerabilidad

CVE-2022-47986 [CVSSv3: 9.8]
IBM Aspera Faspex 4.4.2 Patch Level 1 y anteriores podrían permitir que un atacante remoto ejecute código arbitrario en el sistema, causado por una falla de deserialización de YAML. Al enviar una llamada API obsoleta especialmente diseñada, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema. La llamada API obsoleta se eliminó en Faspex 4.4.2 PL2. ID de IBM X-Force: 243512.

• Para mas informacion sobre boletin de seguridad IBM visitar: https://www.ibm.com/support/pages/node/6952319

Vector de ataque 

El código vulnerable se encuentra en la “self[.]parse()” función en / opt / aspera/ faspex /lib /multi_server/ relay_descriptor[.]rb, donde la relay[.]paramsvariable proviene del cuerpo HTTP POST:

El parámetro proporcionado por el usuario, “external_emails” se asigna a la variable “enc_emails” y luego se pasa a YAML[.]load, que es una operación no segura. Los ciberactores podrían cargar payloads en el intérprete interactivo de Ruby vulnerando el sistema ejecutando código arbitrario.

Apreciación 

Los grupos de ransomware y APT continúan representando un grave riesgo para todas las organizaciones, es por esto, que actores de amenazas dirigen sus esfuerzos constantemente en la renovación de sus TTP para lograr comprometer sistemas críticos, por ende, dada la relevancia de esta vulnerabilidad es importante instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.