Los actores de amenazas están explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM en hacks que instalan ransomware en servidores, advirtieron investigadores de seguridad.
IBM Aspera Faspex es una aplicación de intercambio de archivos centralizada que las grandes organizaciones utilizan para transferir archivos grandes o grandes volúmenes de archivos a velocidades muy altas. En lugar de depender de tecnologías basadas en TCP como FTP para mover archivos, Aspera utiliza el FASP patentado de IBM (abreviatura de Protocolo rápido, adaptable y seguro) para utilizar mejor el ancho de banda de red disponible. El producto también proporciona una gestión detallada que facilita a los usuarios enviar archivos a una lista de destinatarios en listas de distribución o bandejas de entrada compartidas o grupos de trabajo, dando a las transferencias un flujo de trabajo similar al correo electrónico.
A fines de enero, IBM prevenido de una vulnerabilidad crítica en Aspera versiones 4.4.2 Patch Level 1 y anteriores e instó a los usuarios a instalar una actualización para corregir la falla. Rastreada como CVE-2022-47986, la vulnerabilidad hace posible que los actores de amenazas no autenticados ejecuten código malicioso de forma remota mediante el envío de llamadas especialmente diseñadas a una interfaz de programación obsoleta. La facilidad para explotar la vulnerabilidad y el daño que podría resultar le valió a CVE-2022-47986 una calificación de gravedad de 9.8 de un máximo de 10.
El martes, investigadores de la firma de seguridad Rapid7 dicho recientemente respondieron a un incidente en el que un cliente fue violado usando la vulnerabilidad.
“Rapid7 tiene conocimiento de al menos un incidente reciente en el que un cliente se vio comprometido a través de CVE-2022-47986”, escribieron los investigadores de la compañía. “A la luz de la explotación activa y el hecho de que Aspera Faspex generalmente se instala en el perímetro de la red, recomendamos enfáticamente parchear en caso de emergencia, sin esperar a que ocurra un ciclo típico de parches”.
Según otros investigadores, la vulnerabilidad se está aprovechando para instalar ransomware. Los investigadores de Sentinel One, por ejemplo, dijo recientemente que un grupo de ransomware conocido como IceFire estaba explotando CVE-2022-47986 para instalar una versión Linux recién creada de su malware de cifrado de archivos. Anteriormente, el grupo solo publicaba una versión de Windows que se instalaba mediante correos electrónicos de phishing. Debido a que los ataques de phishing son más difíciles de realizar en los servidores de Linux, IceFire recurrió a la vulnerabilidad de IBM para difundir su versión de Linux. Los investigadores también han informado que la vulnerabilidad es siendo explotado para instalar ransomware conocido como Buhti.
Como se señaló anteriormente, IBM parchó la vulnerabilidad en enero. IBM volvió a publicar su aviso a principios de este mes para asegurarse de que nadie se lo pierda. Las personas que deseen comprender mejor la vulnerabilidad y cómo mitigar los posibles ataques contra los servidores de Aspera Faspex deben consultar las publicaciones. aquí y aquí de las firmas de seguridad Assetnote y Rapid7.