TLP: Amber
NIVEL DE RIESGO CSS v3.1 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por las organizaciones a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código arbitrario.

Descripción

Durante el mes pasado, se dieron a conocer detalles técnicos de una falla de seguridad presente en algunas versiones de Windows Server, la cual tiene asignada el identificador CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]), también conocida como Zerologon.

Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows.

Aunado a ello, recientemente se ha visto que algunos usuarios maliciosos han estado aprovechando una falla de seguridad con el identificador CVE-2020-25213 (CVSS v3.1 9.8 [Crítico]) presente en el complemento File-Manager para WordPress.

Dicha falla permite a un usuario ejecutar código arbitrario de manera remota del lado del servidor del sitio Web afectado. Además, actualmente los atacantes la han estado utilizando para obtener un punto de apoyo inicial para ingresar a la red.

De acuerdo con las investigaciones, después de utilizar un programa que aprovecha la falla en FileManager, disponible en Internet, el atacante puede ejecutar código arbitrario en el servidor con privilegios elevados, y a partir de ahí comienza a realizar movimientos laterales para comprometer a otros sistemas.

Finalmente, es importante mencionar que los atacantes han utilizado la falla CVE-2020-25213 para distribuir programas maliciosos, robar información confidencial, agregar mineros de criptomonedas y principalmente para aprovechar la vulnerabilidad Zerologon y comprometer los controladores de dominio de la organización.

Según las investigaciones, el 04 de septiembre del año en curso, se registraron ataques a más de 1.7 millones de sitios Web, y para el 10 de septiembre la cantidad de sitios Web atacados aumentó a más de 2.6 millones, debido a que varias organizaciones no han actualizado sus sistemas y siguen vulnerables a la falla CVE-2020-25213.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004
  • Complemento File-Manager de WordPress

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.
  • Aplicar las actualizaciones de seguridad liberadas por los desarrolladores de File-Manager.

Referencias