El equipo de investigación de Censys ha estado rastreando algunas de las vulnerabilidades más importantes de este año y, de paso, ha sido noticia por su trabajo. Obtenga más información sobre tres de las vulnerabilidades que el equipo ha rastreado utilizando nuestros datos de inteligencia de Internet y descubra las últimas novedades sobre la situación de cada vulnerabilidad en cuanto a la corrección de riesgos.
El ransomware ESXiArgs afecta a más de 3500 servidores VMWare
Más de 3.500 servidores VMWare ESXi de todo el mundo han sido blanco de una campaña de ransomware que comenzó a principios de febrero. La semana pasada, CISA publicó una herramienta de recuperación para las víctimas afectadas por el ransomware ESXiArgs. El ransomware se aprovecha de una vulnerabilidad no parcheada en los servidores VMWare y permite a un actor de amenazas desencadenar un desbordamiento de heap en el servicio OpenSLP, que puede dar lugar a la ejecución remota de código. Este ransomware es inusual en el sentido de que presenta notas de rescate en Internet, lo que hace que la actividad del ransomware sea más visible para escáneres como el nuestro. La vulnerabilidad de VMWare se detectó por primera vez utilizando el escaneado de Internet Censys', que observó 3.551 hosts infectados.
Censys Los investigadores sénior de seguridad Emily Austin y Marc Light analizan el ataque de ransomware y discuten la importancia de lo que Censys pudo observar en su entrada de blog: ESXWhy: Una mirada al ransomware ESXiArgs.
En las noticias
CensysEl descubrimiento del ransomware ha aparecido en varias publicaciones:
TechRepublic: Una operación masiva de ransomware tiene como objetivo VMware ESXi: cómo protegerse de esta amenaza de seguridad
TechRepublic señala que Censys encontró que más de 1000 servidores han sido atacados por el ransomware ESXiArgs, la mayoría de los cuales se encuentran en Francia, seguido por los EE.UU. y Alemania. TechRepublic también ofrece detalles sobre el funcionamiento del ransomware, incluida su solicitud de pago en bitcoin en un plazo de tres días, y proporciona orientación sobre cómo las partes afectadas pueden prevenir y recuperarse del ransomware.
Cyberscoop: Una oleada mundial de ransomware infecta servidores VMWare sin parchear. CISA tiene una (posible) solución.
Cyberscoop informa de que, a pesar de la corrección de CISA, los hackers han "actualizado el malware para cifrar archivos adicionales" y afirma que todavía se está evaluando el impacto de esta campaña de ransomware. Señalan que Censys ha identificado al menos 3.800 hosts comprometidos con 900 servidores que tienen la última versión del malware.
El equipo de Censys seguirá vigilando esta campaña en busca de indicios de más actividad, y usted también puede hacerlo, utilizando esta consulta de búsqueda Censys .
CISA ordena a las agencias civiles federales que parcheen el fallo de SugarCRM
Justo antes del comienzo del nuevo año, se publicó en la lista de correo Full-Disclosure un exploit para un sistema de gestión de contenidos basado en web llamado SugarCRM. El exploit se utiliza para comprometer hosts e instalar un webshell basado en php. Poco después de que se publicara el exploit, Censys observó 3.059 instancias de SugarCRM en Internet y 354 direcciones IP únicas que contenían la webshell instalada del exploit. Los investigadores de Censys también rastrearon los diez principales países anfitriones infectados (nº 1: Estados Unidos), junto con los principales sistemas autónomos más afectados (nº 1: Amazon-02).
Desde entonces, la CISA ha añadido el exploit a su Catálogo de Vulnerabilidades Explotadas Conocidas y ha ordenado a los organismos civiles que parcheen el fallo de SugarCRM antes del 23 de febrero.
Lea más sobre cómo Censys rastreó el fallo de SugarCRM y los indicadores comunes de compromiso que identificó: Seguimiento de un día cero de SugarCRM
En las noticias
The Record: CISA añade fallos de Oracle y SugarCRM a la lista de vulnerabilidades explotadas
The Record informa de que CISA ha añadido el fallo SugarCRM a su lista de vulnerabilidades explotadas, afirmando que la vulnerabilidad está siendo explotada activamente y "plantea riesgos significativos para la empresa federal". El artículo cita la observación de Censysde más de 3.000 instancias de SugarCRM en Internet en enero y más de 350 direcciones IP únicas que contenían el webshell instalado del exploit. The Record también señala que el fallo de SugarCRM está dirigido al segmento de mercado de las pequeñas empresas, mientras que el fallo de Oracle -que la CISA también ha ordenado parchear antes del 23 de febrero de 2023- está dirigido a las empresas, y a su vez pone de relieve cómo todos los segmentos del mercado pueden atraer amenazas persistentes avanzadas.
Los routers Cisco al final de su vida útil están expuestos a ataques RCE
El equipo de Censys ha estado rastreando una vulnerabilidad en los routers de Cisco para pequeñas empresas que surgió en enero. Una semana después de su aparición, Censys encontró aproximadamente 19.500 routers Cisco sin parches y expuestos a los ataques RCE. Esta vulnerabilidad permite a clientes no autenticados saltarse la autenticación y obtener privilegios administrativos que pueden ejecutar comandos arbitrarios. Es importante destacar que, dado que Cisco ya no da soporte a estos servidores que han llegado al final de su vida útil, la empresa anunció que no se lanzarían actualizaciones de software para solucionar la vulnerabilidad.
Ejecutando una consulta en Censys Search, el equipo de investigación de Censys pudo desglosar qué modelos de routers al final de su vida útil se vieron más afectados, así como identificar dónde se alojaban los modelos afectados en todo el mundo. Puede encontrar más información sobre cómo rastreamos esta exposición en el blog Rapid Response de nuestro equipo: CVE-2023-20025: RCE en routers Cisco al final de su vida útil
En las noticias
Bleeping Computer: Más de 19.000 routers Cisco fuera de uso expuestos a ataques RCE
Bleeping Computer cita a los investigadores de Censys en su informe sobre la reciente exposición de los routers Cisco, destacando que el equipo de Censys encontró cerca de 20.000 hosts potencialmente vulnerables al ataque, e identificó cuatro modelos de routers Cisco afectados. Bleeping Computer también comparte las directrices de Cisco sobre cómo los usuarios pueden seguir protegiendo sus dispositivos, a pesar de que no se publicará ninguna actualización de seguridad oficial.
¿Le interesa saber más sobre cómo los equipos de seguridad pueden aprovechar los datos de inteligencia de Internet deCensys para comprender y corregir las vulnerabilidades? Explore Censys Search o póngase en contacto con uno de los miembros de nuestro equipo.