Falhas críticas de segurança no Cacti, Realtek e IBM Aspera Faspex estão sendo exploradas por vários atores de ameaças em ataques direcionados a sistemas não corrigidos.
Isso implica no uso de
CVE-2022-46169
(pontuação CVSS: 9,8) e
CVE-2021-35394
(pontuação CVSS: 9,8) para entregar o MooBot e o ShellBot (também conhecido como PerlBot), segundo um relatório publicado esta semana pelo Fortinet FortiGuard Labs.
A
CVE-2022-46169
refere-se a uma falha crítica de contorno de autenticação e injeção de comando em servidores Cacti que permite a um usuário não autenticado executar código arbitrário.
A
CVE-2021-35394
também diz respeito a uma vulnerabilidade de injeção de comando arbitrário que afeta o Realtek Jungle SDK e que foi corrigida em 2021.
Embora esta última tenha sido anteriormente explorada para distribuir botnets como Mirai, Gafgyt, Mozi e RedGoBot, este desenvolvimento marca a primeira vez que ela é utilizada para implantar o MooBot, uma variante do Mirai conhecida por estar ativa desde 2019.
Além de ser usada em ataques MooBot, a falha do Cacti também tem sido observada servindo cargas úteis do ShellBot desde janeiro de 2023, quando a questão veio à tona.
Pelo menos três versões diferentes do ShellBot foram detectadas - PowerBots (C) GohacK, LiGhT's Modded perlbot v2 e B0tchZ 0.2a - as duas primeiras das quais foram recentemente divulgadas pelo Centro de Resposta de Emergência de Segurança da AhnLab (ASEC).
Todas as três variantes são capazes de orquestrar ataques distribuídos de negação de serviço (DDoS).
PowerBots (C) GohacK e B0tchZ 0.2a também contam com capacidades de backdoor para realizar uploads/downloads de arquivos e iniciar um shell reverso.
"Vítimas comprometidas podem ser controladas e usadas como bots DDoS após receberem um comando de um servidor C2", disse Cara Lin, pesquisadora da Fortinet.
"Como o MooBot pode matar outros processos de botnet e também implantar ataques de força bruta, os administradores devem usar senhas fortes e mudá-las periodicamente".
Uma terceira vulnerabilidade de segurança que tem sido alvo de exploração ativa é a
CVE-2022-47986
(pontuação CVSS: 9,8), uma falha crítica de deserialização YAML na aplicação de troca de arquivos Aspera Faspex da IBM.
O bug, corrigido em dezembro de 2022 (versão 4.4.2 Patch Level 2), foi cooptado por cibercriminosos em campanhas de ransomware associadas ao Buhti e ao IceFire desde fevereiro, logo após o lançamento do exploit de prova de conceito (PoC).
A empresa de segurança cibernética Rapid7 revelou no início desta semana que um de seus clientes foi comprometido pela falha de segurança, exigindo que os usuários se movam rapidamente para aplicar as correções e evitar possíveis riscos.
"Como este é normalmente um serviço voltado para a internet e a vulnerabilidade foi associada à atividade do grupo de ransomware, recomendamos desligar o serviço se uma correção não puder ser instalada imediatamente", disse a empresa.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...