
Los atacantes están explotando una vulnerabilidad crítica (CVE-2022-47986) en la solución de transferencia de archivos centralizada de IBM Aspera Faspex para violar organizaciones.
Acerca de CVE-2022-47986
Las organizaciones utilizan IBM Aspera Faspex para permitir que los empleados intercambien archivos entre sí de forma rápida y segura. (Los archivos se cargan y descargan desde un servidor de transferencia centralizado de Aspera).
CVE-2022-47986 es una falla de deserialización de YAML que pueden desencadenar atacantes remotos que envían una llamada API obsoleta especialmente diseñada. Afecta a IBM Aspera Faspex 4.4.2 Patch Level 1 y anteriores y permite la ejecución de código arbitrario.
El problema, según la investigadora de seguridad de Rapid7, Caitlin Condon, es que Aspera Faspex generalmente se instala en el perímetro de la red y obviamente que algunas organizaciones no taparon este agujero de seguridad en particular cuando IBM puso a disposición los parches por primera vez.
Ahora, por supuesto, su puntaje CVSS inicial (8.1) y el hecho de que fue la vulnerabilidad parcheada con la puntuación más alta en ese momento podría haber tenido algo que ver con su decisión de no parchear rápidamente.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
Desafortunadamente para ellos, la puntuación se elevó posteriormente a 9,8 (sobre 10) para reflejar su gravedad real. Pero, lo que es más importante, Max Garrett, el investigador que lo descubrió, publicó los detalles técnicos y el código de explotación de PoC.
Explotando CVE-2022-47986
Los atacantes comenzaron a explotarlo casi de inmediato y no han parado desde entonces.
A principios de marzo, los investigadores de SentinelOne detectaron atacantes que manejaban el ransomware IceFire y atacaban cajas Linux de organizaciones en Turquía, Irán, Pakistán y los Emiratos Árabes Unidos. Greynoise registró varios intentos de explotación en el último mes.
Rapid7 también dice que están al tanto de al menos un incidente reciente en el que un cliente se vio comprometido a través de CVE-2022-47986.
La compañía ha compartido indicadores de compromiso que pueden ser útiles para aquellos que se han visto comprometidos pero que aún no han liberado ransomware en sus sistemas (si el plan era implementar ransomware y no exfiltración y extorsión de datos).
Se recomienda a los administradores empresariales que actualicen su servidor IBM Aspera Faspex de inmediato y que busquen y actúen en consecuencia.
Fuente: helpnetsecurity
Si te ha gustado, ¡compártelo con tus amigos!