TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por las organizaciones a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecutar código.

Descripción

De acuerdo con un seguimiento realizado durante este año, se presentan algunas de las vulnerabilidades aprovechadas por parte de grupos maliciosos (APT) en 2020. A continuación, se listan las fallas más destacadas de manera cronológica conforme han sido aprovechadas:

CVE-2019-19781 (CVSS v3.1: 9.8 [Crítico])

Esta falla en particular fue dada a conocer y corregida en el mes de diciembre del 2019, está presente en Citrix Application Delivery Controller y puede permitir a un usuario malicioso obtener acceso al dispositivo afectado. Sin embargo, a principios de este año, se identificaron ataques por parte del grupo APT-41 quien realizó campañas para aprovechar el error y comprometer a las organizaciones.

CVE-2020-0688 (CVSS v3.1: 8.8 [Alto])

Esta vulnerabilidad fue resuelta por Microsoft durante el mes de febrero, y es ocasionada por un error en el Panel de Control de Exchange (ECP), el cual está habilitado en la configuración predeterminada, el error es causado porque el servidor no crea correctamente claves únicas al momento de la instalación. Esta vulnerabilidad puede permitir a un usuario malicioso autenticado ejecutar código de manera remota en el dispositivo afectado utilizando cualquier credencial de correo electrónico válida. Al poco tiempo de darse a conocer este error se identificaron escaneos para buscar dispositivos vulnerables a esta falla e incluso se publicaron varias Pruebas de Concepto (PoC) para implementarla, también se identificaron intentos de diferentes usuarios maliciosos para aprovecharla, además, durante un análisis realizado en septiembre aún se encontraron 247 mil servidores vulnerables.

CVE-2020-1938 (CVSS v3.1: 9.8 [Crítico])

En el mes de febrero los responsables del desarrollo y mantenimiento de Apache publicaron actualizaciones para corregir esta vulnerabilidad también llamada “Ghostcat” en el protocolo de “Apache JServ”, la cual permite a los usuarios enviar solicitudes desde un servidor Web o servidor de aplicaciones de forma remota para ejecutar código sin autenticación. Poco tiempo después esta falla fue aprovechada, los atacantes realizaron búsquedas de servidores vulnerables para realizar actividades maliciosas que van desde el reconocimiento de los sistemas hasta la implementación de mecanismos para conservar el acceso a los mismos.

CVE-2019-9081 (CVSS v3.1: 9.8 [Crítico])

Durante el mes de mayo y junio se identificaron campañas por parte de los desarrolladores de “Lucifer”, para aprovechar esta falla de seguridad presente en algunas versiones de Laravel Framework, la cual puede permitir la ejecución de código en el dispositivo afectado. De acuerdo con los expertos, el principal objetivo de Lucifer es la minería de criptomonedas.

CVE-2020-5902 (CVSS v3.1: 9.8 [Crítico])

En el mes de julio la empresa F5 Networks solucionó esta vulnerabilidad crítica, la cual afecta a los productos BIG-IP, dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico Web, balanceadores de carga, puertas de enlace, limitadores de velocidad o middleware SSL. La vulnerabilidad permite la ejecución remota de código en la interfaz de administración de BIG-IP conocida como Interfaz de usuario de administración de tráfico (TMU), un componente que se ejecuta en un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP. En dicha consola el atacante puede aprovechar el fallo desde Internet mediante solicitudes HTTP especialmente diseñadas para obtener acceso a dicho componente y ejecutar comandos del sistema, agregar código Java, crear o eliminar archivos y deshabilitar servicios. Esta falla en particular, durante el mes de septiembre fue utilizada en una campaña por parte de un usuario malintencionado con sede en Irán dirigida a varias industrias asociadas principalmente con los sectores de tecnología de la información, gobierno, atención médica, finanzas, seguros y medios, de manera central en los Estados Unidos.

CVE-2020-1472 (CVSS v3.1: 10.0 [Crítico])

Esta falla se encuentra presente en algunas versiones de Windows Server, también conocida como “Zerologon”, fue dada a conocer en el mes de agosto y no era considerada tan peligrosa, sin embargo, de acuerdo con investigaciones realizadas y un informe técnico publicado durante el mes de septiembre, se modificó y se consideró como crítica. Esta falla ha sido aprovechada por diferentes grupos maliciosos, por ejemplo, “TA505” quien la utiliza para agregar al equipo la herramienta conocida como “Mimikatz”, la cual les permite instalar otro tipo de programas, como ransomware, o bien, para robar información confidencial del equipo, por ejemplo, credenciales de acceso. Esta falla también ha sido aprovechada por un grupo de usuarios maliciosos de Irán, conocido como “MuddyWater” y por los desarrolladores del ransomware “Ryuk”, por mencionar algunos.

CVE-2020-25213 (CVSS v3.1: 9.8 [Crítico])

Aunado a lo anterior, también se identificó que Zerologon se puede aprovechar en conjunto con una falla de seguridad con el identificador CVE-2020-25213 (CVSS v3.1 9.8 [Crítico]) presente en el complemento File-Manager para WordPress, la cual permite a un usuario ejecutar código arbitrario de manera remota del lado del servidor del sitio Web afectado. Además, a principios del mes de octubre los atacantes la utilizaron para obtener un punto de apoyo inicial para ingresar a la red, aprovechar la vulnerabilidad Zerologon y comprometer los controladores de dominio de la organización.

CVE-2019-19781 (CVSS v3.1: 9.8 [Crítico]) y CVE-2020-10189 (CVSS v3.1: 8.8 [Alto])

En el mes de septiembre, el grupo de ciberdelincuentes llamado “APT41” o también conocido como “Barium”, “Winnti”, “Wicked Panda” o “Wicked Spider”, realizó una campaña de ataques que intentaban comprometer tecnologías y aplicaciones Cisco, Citrix y Zoho, en más de 75 organizaciones de los países de Estados Unidos, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japón, Malasia, Pakistán, Singapur, Corea del Sur, Taiwán, Tailandia y Vietnam. APT-41 aprovechó la vulnerabilidad CVE-2019-19781 (CVSS v3.1: 9.8 [Crítico]), la cual permite a un atacante no autenticado ejecutar código arbitrario en el dispositivo afectado. Por otro lado, en “Zoho ManageEngine Desktop Central”, APT41 aprovechó la vulnerabilidad CVE-2020-10189 (CVSS v3.1: 9.8 [Crítico]), que permite la ejecución remota de código en instalaciones afectadas para obtener privilegios de sistema.

CVE-2020-3566 (CVSS V3.0: 8.6 [Alto]) y CVE-2020-3569 (CVSS V3.0: 8.6 [Alto])

Estas vulnerabilidades se comenzaron a aprovechar en el mes de septiembre en el software de Cisco IOS XR, que ejecutan los routers fabricados por Cisco. Las fallas se presentan en el protocolo de enrutamiento (DVMRP) y permiten a un usuario malicioso remoto saturar la memoria del dispositivo afectado y provocar inestabilidad del sistema, lo anterior debido a una administración insuficiente para los paquetes “Internet Group Management Protocol (IGMP)”. A pesar lo anterior Cisco aseguró que solo se encuentra presente en dispositivos con interfaces de IOS XR configuradas en enrutamiento “multicast” por lo que sugirió cambiar la configuración de las interfaces para evitar una posible infección.

CVE-2020-14882 (CVSS v3.1: 9.8 [Crítico])

Esta vulnerabilidad se presentó en servidores de Oracle WebLogic, y puede permitir a un usuario malicioso ejecutar código de manera remota en el dispositivo afectado, sin requerir autenticación. Durante el mes de octubre, se descubrieron intentos para identificar equipos vulnerables a esta falla y a principios del mes de noviembre, Oracle publicó actualizaciones para corregirla, sin embargo, días después se identificó que algunos usuarios maliciosos la estaban utilizando para comprometer a las organizaciones y recolectar información confidencial o instalar algún otro programa malicioso.

CVE-2020-3118 (CVSS v3.1: 8.8 [Alto])

Esta falla presente en los dispositivos con el software de Cisco IOS XR, fue dada a conocer por la empresa Cisco en el mes de febrero, sin embargo, durante el mes de octubre, la organización emitió una alerta informando que algunos usuarios maliciosos de China se aprovechaban de esta, permitiendo la ejecución de código arbitrario con privilegios de administrador en el dispositivo afectado.

CVE-2019-0708 (CVSS v3.0: 9.8 [Critico]), CVE-2020-0796 (CVSS v3.1: 10.0 [Critico]) y CVE-2017-0144 (CVSS v3.0: 8.1 [Alto])

Durante el mes de octubre se identificó nueva actividad maliciosa relacionada con la botnet conocida como “LemonDuck”, la cual aprovecha diferentes fallas de seguridad entre las que se incluyen la vulnerabilidad “BlueKeep” (CVE-2019-0708), “SMBGshost” (CVE-2020-0796) y CVE-2017-0144 vulnerabilidad que es aprovechada por el programa malicioso “Eternal Blue”, la cual afectó a millones de organizaciones en el 2017.

CVE-2020-17087 (CVSS v3.1: 7.8 [Alto]) y CVE-2020-15999 (CVSS v3.1: 6.5 [Medio])

La vulnerabilidad CVE-2020-17087 permite elevar privilegios en el dispositivo afectado y durante el mes de noviembre esta falla ha sido aprovechada por usuarios maliciosos con una vulnerabilidad presente en Google Chrome, la cual tiene asignada el identificador CVE-2020-15999 y en conjunto, ambas pueden permitir a un usuario malicioso obtener acceso de administrador del dispositivo afectado.

Nivel de riesgo

  • CVSS v3.1 : 10.0 [Crítico]
  • CVSS v3.1 : 9.8 [Crítico]
  • CVSS v3.0 : 9.8 [Critico]
  • CVSS v3.1 : 8.8 [Alto]
  • CVSS V3.0 : 8.6 [Alto]
  • CVSS v3.0 : 8.1 [Alto]
  • CVSS v3.1 : 7.8 [Alto]
  • CVSS v3.1 : 6.5 [Medio]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2019-19781 y CVE-2020-10189

  • Dispositivos Citrix NetScaler/ADC
  • Routers Cisco
  • Software Zoho ManageEngine Desktop Central

Vulnerabilidad CVE-2020-0688

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Vulnerabilidad CVE-2020-14882

  • Oracle WebLogic Server

Vulnerabilidad CVE-2020-17087

  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2012
  • Windows Server 2012 R2

Vulnerabilidad CVE-2020-1472

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Vulnerabilidad CVE-2020-25213

  • Complemento File-Manager de WordPress

Vulnerabilidad CVE-2020-15999

  • Google Chrome

Vulnerabilidad CVE-2020-3118

  • Cisco IOS XR
  • ASR 9000 Series Aggregation Services Routers
  • Carrier Routing System (CRS)
  • IOS XRv 9000 Router
  • Network Convergence System (NCS) Routers

Vulnerabilidad CVE-2020-0796

  • Windows 10 versión
  • Windows Server, versión 1903 (Server Core installation)
  • Windows Server, versión 1909 (Server Core installation)

Vulnerabilidad CVE-2020-5902

  • BIG-IP en sus versiones de la 15.0.0 a la 15.1.0.3
  • BIG-IP en sus versiones de la 14.1.0 a la 14.1.2.5
  • BIG-IP en sus versiones de la 13.1.0 a la 13.1.3.3
  • BIG-IP en sus versiones de la 12.1.0 a la 12.1.5.1

Vulnerabilidad CVE-2020-3566 y CVE-2020-3569

  • Cisco IOS XR software

Vulnerabilidad CVE-2020-1938

  • Apache Tomcat 6.0.0 a 6.0.53
  • Apache Tomcat 7.0.0 a 7.0.99
  • Apache Tomcat 8.5.0 a 8.5.50
  • Apache Tomcat 9.0.0.M1 a 9.0.30

Medidas de contención

  • Aplicar las actualizaciones publicadas por los diferentes proveedores a los sistemas afectados.

Referencias