TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por Oracle a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

De acuerdo con investigaciones realizadas por una firma de ciberseguridad se ha identificado una nueva campaña del grupo malicioso conocido como “UNC1945”. Los atacantes están aprovechando la falla de seguridad presente en Oracle Solaris, la cual tiene asignada el identificador CVE-2020-14871 (CVSS v3.1 10.0 [Crítico]).

UNC1945 es un grupo de atacantes que ha estado activo desde el 2018 y ha afectado a organizaciones del sector de telecomunicaciones, financiero y de consultoría.

La vulnerabilidad aprovechada por la campaña actual de UNC1945 puede permitir que un usuario malicioso omita el proceso de autenticación y ejecute código de manera remota en el dispositivo afectado. Si bien la vulnerabilidad está presente en Solaris, un ataque exitoso podría afectar significativamente a otros productos adicionales.

En esta campaña el grupo malicioso instala una puerta trasera llamada “SLAPSTICK” en los servidores Solaris expuestos a Internet. Posteriormente UNC1945 realiza un reconocimiento de la red corporativa y comienza a hacer movimientos laterales a otros sistemas. Después el grupo agrega herramientas o códigos maliciosos en los sistemas, entre los que se incluyen: Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa, JBoss Vulnerability Scanner, EVILSUN, LEMONSTICK, LOGBLEACH, OKSOLO, OPENSHACKLE, ProxyChains, PUPYRAT, SLAPSTICK.

A la fecha, no se sabe con certeza cuál es el objetivo final de UNC1945, ya que no se identificó filtración de datos, sin embargo, en campañas anteriores UNC1945 ha implemento el ransomware “ROLLCOAST”, pero hasta el momento no se le ha atribuido esta actividad a la campaña actual.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas

  • Oracle Solaris 10
  • Oracle Solaris 11

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • d5b9a1845152d8ad2b91af044ff16d0b
    • 0845835e18a3ed4057498250d30a11b1
    • 6983f7001de10f4d19fc2d794c3eb534
    • 2eff2273d423a7ae6c68e3ddd96604bc
    • d505533ae75f89f98554765aaf2a330a
  • SHA-1
    • 5824951791c52ca149f0c7a69f20ef2b911faabf
    • c28366c3f29226cb2677d391d41e83f9c690caf7
    • 23873bf2670cf64c2440058130548d4e4da412dd
    • 2d20529133bea0b82c5f0c8624281f3897dc6916
    • f5a03e4abdc2a45c130d405ee318862d07c36d7c
    • 5c051468cbfbb9dc43fdaed80ac4b16c2bf83fae
  • SHA-256
    • c94fdfedd40e0b194165294f484977947df9da2000cb8fe02243961384b249ff
    • 7d587a5f6f36a74dcfbcbaecb2b0547fdf1ecdb034341f4cc7ae489f5b57a11d
    • 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71
    • 14296b21c6e2ba9d56759e2da4b09f58148852ddeefa8fb76a838a30871679a7
    • f568bb92f128ec3bb5e0f34b237aef8537b0e0e5a61fb58317ac091e8fde0da2
    • 632be2363c7a13be6d5ce0dca11e387bd0a072cc962b004f0dcf3c1f78982a5a

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Medidas de erradicación

Referencias