Los actores de amenazas están explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM en hacks que instalan ransomware en servidores, advirtieron investigadores de seguridad.
IBM Aspera Faspex es una aplicación de intercambio de archivos centralizada que utilizan las grandes organizaciones para transferir archivos grandes o grandes volúmenes de archivos a velocidades muy altas. En lugar de depender de tecnologías basadas en TCP como FTP para mover archivos, Aspera utiliza FASP propiedad de IBM, abreviatura de Protocolo rápido, adaptable y seguro, para aprovechar al máximo el ancho de banda de red disponible. El producto también proporciona una gestión granular que facilita a los usuarios el envío de archivos a una lista de destinatarios en listas de distribución o buzones de correo compartidos o grupos de trabajo, dando a las transferencias un flujo de trabajo similar al correo electrónico.
A fines de enero, IBM advirtió sobre una vulnerabilidad crítica en Aspera versiones 4.4.2 Patch Level 1 y anteriores e instó a los usuarios a instalar una actualización para corregir la falla. Registrada como CVE-2022-47986, la vulnerabilidad permite a los actores de amenazas no autenticados ejecutar código malicioso de forma remota mediante el envío de llamadas especialmente diseñadas a una interfaz de programación obsoleta. La facilidad para explotar la vulnerabilidad y el daño que podría ocasionar le valió a CVE-2022-47986 una puntuación de gravedad de 9,8 sobre 10 posibles.
El martes, los investigadores de la firma de seguridad Rapid7 dijeron que recientemente respondieron a un incidente en el que un cliente fue pirateado al explotar la vulnerabilidad.
“Rapid7 está al tanto de al menos un incidente reciente en el que un cliente se vio comprometido a través de CVE-2022-47986”, escribieron los investigadores de la compañía. “A la luz de la explotación activa y el hecho de que Aspera Faspex generalmente se instala en el perímetro de la red, recomendamos encarecidamente parchear en caso de emergencia, en lugar de esperar a que ocurra un ciclo típico de parches”.
Según otros investigadores, la vulnerabilidad se está aprovechando para instalar ransomware. Los investigadores de Sentinel One, por ejemplo, afirmaron recientemente que un grupo de ransomware conocido como IceFire estaba explotando CVE-2022-47986 para instalar una versión Linux recién creada de su malware de cifrado de archivos. Anteriormente, el grupo solo enviaba una versión instalada de Windows a través de correos electrónicos de phishing. Dado que los ataques de phishing son más difíciles de realizar en servidores Linux, IceFire aprovechó la vulnerabilidad de IBM para popularizar su versión Linux. Los investigadores también informaron cuál es la vulnerabilidad. ser explotado para instalar el ransomware conocido como Buhti.
Como se señaló anteriormente, IBM parchó la vulnerabilidad en enero. IBM volvió a emitir su aviso a principios de este mes para asegurarse de que nadie se lo pierda. Las personas que deseen comprender mejor la vulnerabilidad y cómo mitigar los posibles ataques contra los servidores de Aspera Faspex deben consultar las publicaciones aquí y aquí de las empresas de seguridad Assetnote y Rapid7.