El ransomware afiliado ALPHV/BlackCat ataca los fallos de la solución Veritas Backup
Un afiliado de la banda de ransomware ALPHV/BlackCat, rastreado como UNC4466, fue observado explotando tres vulnerabilidades en la solución Veritas Backup para obtener acceso inicial a la red objetivo.
A diferencia de otros afiliados de ALPHV, UNC4466 no se basa en credenciales robadas para el acceso inicial a los entornos de las víctimas. Los investigadores de Mandiant observaron por primera vez a esta filial atacando problemas de Veritas el 22 de octubre de 2022.
A continuación se muestra la lista de fallos explotados por la filial de la banda de ransomware:
- CVE-2021-27876: comunicación entre un cliente y un Agente requiere una autenticación exitosa, que normalmente se completa a través de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante es capaz de obtener acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos del protocolo de gestión de datos en la conexión autenticada. Mediante el uso de parámetros de entrada crafteados en uno de estos comandos, un atacante puede acceder a un archivo arbitrario en el sistema utilizando privilegios de Sistema. (CVSS: 8.1).
- CVE-2021-27877: un problema en Veritas Backup Exec anterior a 21.2. Se admiten varios esquemas de autenticación y SHA es uno de ellos. Este esquema de autenticación ya no se utiliza en las versiones actuales del producto, pero aún no se había desactivado. Un atacante podría explotar remotamente este esquema para obtener acceso no autorizado a un Agente y ejecutar comandos privilegiados. (CVSS: 8,2).
- CVE-2021-27878: un problema en Veritas Backup Exec anterior a 21.2. La comunicación entre un cliente y un Agente requiere una autenticación correcta, que normalmente se completa a través de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante puede obtener acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos del protocolo de gestión de datos en la conexión autenticada. El atacante podría utilizar uno de estos comandos para ejecutar un comando arbitrario en el sistema utilizando privilegios del sistema. (CVSS: 8,8)
Los tres fallos se solucionaron con el lanzamiento de la versión 21.2 en marzo de 2021, pero muchos puntos finales de cara al público aún no se han actualizado. Los investigadores identificaron más de 8.500 instalaciones de instancias de Veritas Backup Exec expuestas actualmente a Internet, algunas de las cuales podrían seguir siendo vulnerables.
La explotación de estos fallos puede ser fácil utilizando Metasploit, que tiene un módulo específico para atacar estos problemas desde septiembre de 2022.
"A finales de 2022, UNC4466 obtuvo acceso a un servidor Windows expuesto a Internet que ejecutaba la versión 21.0 de Veritas Backup Exec utilizando el módulo Metasploit exploit/multi/veritas/beagent_sha_auth_rce. Poco después, se invocó el módulo de persistencia de Metasploit para mantener el acceso persistente al sistema durante el resto de la intrusión", dice el análisis publicado por Mandiant.
Una vez conseguido el acceso a la red del objetivo, el afiliado utilizó las utilidades legítimas Advanced IP Scanner y ADRecon de Famatech como parte de un reconocimiento interno.
A continuación, utilizó el servicio de Background Intelligent Transfer Service (BITS) para descargar herramientas adicionales como LaZagne, Ligolo, WinSW, RClone y, por último, el ransomware ALPHV.
El grupo UNC4466 utiliza túneles SOCKS5 para comunicarse con los sistemas comprometidos. La amenaza empleó dos herramientas distintas para ejecutar esta técnica, LIGOLO y RevSocks. El grupo recopiló credenciales en texto claro y material de credenciales utilizando varias herramientas de acceso a credenciales, como Mimikatz, LaZagne y NanoDump.
La amenaza evade la detección borrando los registros de eventos y desactiva la capacidad de supervisión en tiempo real de Microsoft Defender mediante el cmdlet Set-MpPrefernce.
powershell.exe Set-MpPreference -DisableRealtimeMonitoring 1 -ErrorAction SilentlyContinue
El informe incluye indicadores de compromiso (IoC) para esta amenaza.
Fuente: SecurityAffairs
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!