Logitech está creando ratones de metal 502.

Logitech está creando ratones de metal 502.

Cover Image for Hackers del gobierno chino logran infiltrarse en al menos dos importantes proveedores de servicios de internet en EE. UU.

Hackers del gobierno chino logran infiltrarse en al menos dos importantes proveedores de servicios de internet en EE. UU.

Volt Typhoon vuelve a hacer de las suyas.

Un grupo de hackers patrocinado por el estado chino ha sido detectado utilizando una vulnerabilidad de día cero para infiltrarse en proveedores de servicios de internet (ISP), proveedores de servicios gestionados (MSP) y en el sector de tecnología de la información desde al menos el 12 de junio de 2024. Según un análisis realizado por Black Lotus Labs de Lumen, este grupo, conocido como Volt Typhoon y Bronze Silhouette, ha estado aprovechando la vulnerabilidad identificada como CVE-2024-39717 para comprometer diversas organizaciones.

La vulnerabilidad implica un proceso complejo que permite inyectar código malicioso en los servidores de Versa Director, lo que facilita al atacante la obtención de credenciales en texto plano. Esto podría permitir ataques adicionales a la infraestructura de los clientes mediante el uso legítimo de dichas credenciales. Los servidores de Versa Director son empleados por ISPs y MSPs para gestionar configuraciones de red en software de redes de área amplia definidas por software (SD-WAN).

Los atacantes implementaron un shell web personalizado, denominado “VersaMem”, que utiliza Java instrumentation y Javassist para inyectar código en el espacio de memoria del proceso del servidor Tomcat en los servidores de Versa Director de las víctimas. Este shell web, denominado “VersaTest.png” y que fue subido a VirusTotal el 7 de junio de 2024, no ha sido detectado por antivirus hasta ahora y sigue siendo efectivo para explotar servidores de Versa Director que no estén parcheados. Hasta el momento, esta vulnerabilidad ha sido utilizada para atacar a cuatro entidades dentro de EE. UU. y a una víctima fuera del país.

Douglas McKee, director ejecutivo de investigación de amenazas en SonicWall, comentó sobre este ataque, subrayando la importancia de la investigación sobre vulnerabilidades y las pruebas de seguridad en productos. Afirmó que la reciente explotación de la vulnerabilidad en el software de Versa Director por parte del grupo de hackers Volt Typhoon enfatiza cómo las vulnerabilidades no descubiertas y no parcheadas pueden ser utilizadas por actores de amenazas sofisticados para infiltrarse en infraestructuras críticas. McKee sugirió que las organizaciones realicen investigaciones de vulnerabilidades de terceros y pruebas internas de seguridad de productos para identificar y mitigar debilidades antes de que sean explotadas.

Black Lotus Labs recomienda que las organizaciones preocupadas por la posible compromisión de los servidores de Versa Director actualicen a la versión 22.1.4 o superior y estén atentas a ciertos indicadores de compromiso, que incluyen:

  • Búsquedas de conexiones en el puerto 4566 en servidores de Versa Director desde IPs de nodos no asociados a Versa (por ejemplo, dispositivos SOHO).
  • Inspección del directorio web raíz de Versa en busca de archivos con extensión “.png” que no sean archivos PNG válidos.
  • Verificación de cuentas de usuario recién creadas y otros archivos anómalos.
  • Auditoría de cuentas de usuario, revisión de registros de sistemas/aplicaciones/usuarios, rotación de credenciales y análisis de cuentas de clientes downstream.

Se pueden encontrar más recomendaciones en el blog de Black Lotus Labs.

  • ciberseguridad
  • vulnerabilidades
  • hacking
Este nuevo ataque de phishing utiliza un astuto infostealer para provocar el mayor daño posible.
|