ClickCease Alerta: fallos en el software Connectwise F5 utilizados para penetrar en redes

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: fallos en el software Connectwise F5 utilizados para penetrar en redes

Wajahat Raja

2 de abril de 2024 - Equipo de expertos TuxCare

Recientes noticias han afirmado que un pirata informático supuestamente relacionado con China ha estado implicado en la explotación de dos populares vulnerabilidades. El objetivo de estos exploits son los contratistas de defensa estadounidenses y otras entidades e instituciones gubernamentales de Asia y el Reino Unido. Según estos informes, los investigadores creen que el hacker está respaldado por el Estado. En este artículo, describiremos los ataques y cómo los fallos del software Connectwise F5 fueron explotados.

¡Comencemos!

 

UNC5174 y los fallos del software Connectwise F5


Mandiant, empresa de seguridad propiedad de Google, ha publicado un
informe con información sobre el supuesto hacker respaldado por el Estado. Los informes mencionan que un actor de amenazas llamado UNC5174 puede ser el que esté detrás de los fallos del software Connectwise F5 que se están explotando. Además, los investigadores de Mandiant también creen que el hacker actúa en nombre del Ministerio de Seguridad del Estado chino.

Un extracto del informe en el que se comentan las actividades recientes de UNC5174 dice así: "En febrero de 2024, se observó a UNC5174 explotando la vulnerabilidad ConnectWise ScreenConnect (CVE-2024-1709) para comprometer a cientos de instituciones principalmente en EE.UU. y Canadá."

Connect también advirtió a sus clientes sobre CVE-2024-1709 en febrero. En aquel momento, la organización había confirmado que varios de sus clientes habían sido presa de fallos de software de Connectwise F5. Los investigadores también encontraron UNC5174 que explotaba CVE-2023-46747. Estos exploits tenían como objetivo el software F5 BIG-IP. El informe señala además que el uso de herramientas personalizadas exclusivas de UNC5174 era evidente en ambos exploits.


Vulnerabilidad de Connectwise F5 y espionaje chino 


Los investigadores de Mandiant han declarado que los ataques apuntan a la posibilidad de espionaje chino. Un extracto que proporciona más información dice:
"Los actores vinculados a China siguen investigando vulnerabilidades en dispositivos de borde ampliamente desplegados como F5 BIG-IP y ScreenConnect para permitir operaciones de espionaje a escala. Estas operaciones a menudo incluyen la rápida explotación de vulnerabilidades recientemente divulgadas utilizando exploits de prueba de concepto personalizados o disponibles públicamente."

Dada la secuencia de ataques de los recientes fallos de software Connectwise F5 explotados, puede afirmarse que los actores de la amenaza siguen de cerca el modelo mencionado en el informe. Además, sus operaciones pueden proporcionar información sobre el sistema de intermediario de acceso inicial que el SMS utiliza para atacar a organizaciones mundiales. Por el momento, los expertos creen que UNC5174 seguirá representando una amenaza para ONG, instituciones académicas y organismos gubernamentales.


Detalles de la explotación de los fallos del software Connectwise F5 


Una vez que el actor de la amenaza ha desarrollado un punto de apoyo, comienza a escanear el sistema orientado a Internet en busca de vulnerabilidades explotables. UNC5174 también crea cuentas administrativas que ayudan a ejecutar intenciones maliciosas, dado que las cuentas tienen privilegios elevados. Además, el actor de la amenaza también deja caer un descargador ELF basado en C apodado SNOWLIGHT. 

El downloader está diseñado para entregar el siguiente payload llamado GOREVERSE que adquiere de una URL remota y se comunica con el SUPERSHELL. En cuanto a la explotación de los fallos del software Connectwise F5 tanto GOREVERESE como SUPERSHELL permiten a los actores de amenazas crear un embudo SSH inverso.

Este embudo se utiliza para lanzar sesiones de shell, facilitando la ejecución arbitraria de código. arbitraria de código. Cuando se trata de explotar el fallo de software Connectwise F5, los actores de amenazas también utilizan una herramienta adicional de tunelización basada en Goland llamada GOHEAVY. Es probable que esta herramienta se utilice para ayudar en los movimientos laterales dentro de la red, permitiendo a los actores de amenazas ampliar su superficie de ataque.

Informes recientes han sacado a la luz un interesante suceso en el que actores de amenazas participaron en el parcheado de CVE-2023-46747. El motivo del parche, según los informes, es evitar que otros exploten la misma laguna. Cabe mencionar aquí que UNC5174 está vinculado a varios grupos de actores de amenazas y se cree que los abandonaron a mediados de 2023.

Además, el actor de la amenaza se centra ahora en ejecutar operaciones de acceso e intermediar en el acceso a entornos comprometidos. Teniendo esto en cuenta, es posible concluir que, en el caso de los fallo de software Connectwise F5 el actor de la amenaza vuelve a actuar como intermediario de acceso con el apoyo del SMS.


Conclusión 


UNC5174, supuestamente respaldado por China, ha sido observado explotando el
fallos del software Connectwise F5 utilizando herramientas personalizadas. Según informes recientes, se cree que los contratistas de defensa estadounidenses y otras entidades e instituciones gubernamentales de Asia y el Reino Unido son los principales objetivos de los ataques.

Los exploits son muy graves, dado que el actor de la amenaza puede cerrar brechas, intermediar accesos, realizar movimientos laterales y ampliar la superficie de ataque. Dada la gravedad de los ataques, el despliegue de medidas robustas de ciberseguridad es ahora esencial para salvaguardar los sistemas organizativos y mitigar los riesgos del software Connectwise F5.

Las fuentes de este artículo incluyen artículos en The Hacker News y The Record.

Resumen
Alerta: fallos en el software Connectwise F5 utilizados para penetrar en redes
Nombre del artículo
Alerta: fallos en el software Connectwise F5 utilizados para penetrar en redes
Descripción
Se han observado amenazas que aprovechan los fallos de Connectwise F5 mediante herramientas personalizadas. Obtenga más información sobre los ataques y proteja sus sistemas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín