Los ladrones de ransomware explotan un error de intercambio de archivos de IBM con una gravedad de 9.8

Los actores de amenazas están explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM en hacks que instalan ransomware en servidores, advirtieron investigadores de seguridad. IBM Aspera Faspex es una aplicación de intercambio de archivos centralizada que utilizan las grandes organizaciones para transferir archivos grandes o grandes cantidades de archivos a velocidades muy altas. En lugar de depender de tecnologías basadas en TCP como FTP para mover archivos, Aspera utiliza FASP propiedad de IBM (abreviatura de Protocolo rápido, adaptable y seguro) para hacer un mejor uso del ancho de banda de red disponible. El producto también ofrece una administración detallada que facilita a los usuarios el envío de archivos a una lista de destinatarios en listas de distribución o bandejas de entrada compartidas o grupos de trabajo, dando a las transmisiones un flujo de trabajo similar al de un correo electrónico. A fines de enero, IBM advirtió sobre una vulnerabilidad crítica en Aspera versiones 4.4.2 Patch Level 1 y anteriores e instó a los usuarios a instalar una actualización para corregir la vulnerabilidad. La vulnerabilidad, rastreada como CVE-2022-47986, permite a los atacantes no autenticados ejecutar código malicioso de forma remota mediante el envío de llamadas especialmente diseñadas a una interfaz de programación heredada. La simple explotación de la vulnerabilidad y el daño resultante le otorgaron a CVE-2022-47986 una calificación de gravedad de 9,8 sobre 10 posibles explotando la vulnerabilidad violada. «Rapid7 tiene conocimiento de al menos un incidente reciente en el que un cliente se vio comprometido a través de CVE-2022-47986», escribieron los investigadores de la compañía. «Dada la explotación activa y el hecho de que Aspera Faspex generalmente se instala en el perímetro de la red, recomendamos encarecidamente la aplicación de parches de emergencia sin esperar un ciclo de parches típico». Según otros investigadores, la vulnerabilidad se aprovecha para lanzar ransomware para instalar. Por ejemplo, los investigadores de Sentinel One dijeron recientemente que un grupo de ransomware llamado IceFire explotó CVE-2022-47986 para instalar una versión Linux recientemente desarrollada de su malware de cifrado de archivos. Anteriormente, el grupo solo enviaba una versión de Windows instalada a través de correos electrónicos de phishing. Dado que los ataques de phishing son más difíciles de realizar en servidores Linux, IceFire cambió a la vulnerabilidad de IBM para distribuir su versión de Linux. Los investigadores también han informado sobre la vulnerabilidad ser explotado para instalar ransomware llamado Buhti. Como ya se mencionó, IBM parchó la vulnerabilidad en enero. IBM volvió a publicar su recomendación a principios de este mes para asegurarse de que nadie se la pierda. Las personas que deseen comprender mejor la vulnerabilidad y mitigar los posibles ataques a los servidores de Aspera Faspex deben leer las publicaciones aquí y aquí de las empresas de seguridad Assetnote y Rapid7.