Se advierte a los equipos de seguridad que estén atentos a una ola creciente de ataques cibernéticos oportunistas y en gran medida no dirigidos que explotan dos cadenas de explotación relacionadas para apuntar a los servidores de Microsoft Exchange.
Esto es según Bitdefender Labs, que notó un aumento en los volúmenes de ataques a partir de finales de noviembre de 2022. Los ataques se conocen técnicamente como falsificaciones de solicitudes del lado del servidor (SSRF) y se están volviendo muy populares y explotados de forma rutinaria por los ciberdelincuentes. bajo tierra, principalmente porque Microsoft Exchange se usa mucho.
En un ataque SSRF, un actor de amenazas envía una solicitud especialmente diseñada desde un servidor vulnerable a otro servidor en nombre del servidor vulnerable y, por lo tanto, puede acceder a recursos o información a los que no puede acceder directamente y realizar acciones en nombre del servidor vulnerable.
Hay dos cadenas de exploits actualmente bajo explotación activa. El primero es ProxyNotShell, una combinación de dos vulnerabilidades reveladas, CVE-2022-41080 y CVE-2022-41082 que requiere que el actor de amenazas se autentique en el servidor vulnerable, y Microsoft lo parchó en noviembre de 2022.
El segundo se conoce como OWASSRF. Esta es una cadena de exploits ligeramente diferente que usa las mismas dos vulnerabilidades, aunque de manera ligeramente diferente de tal manera que puede eludir las mitigaciones de ProxyNotShell. OWASSRF se utilizó en el ataque de Rackspace de diciembre de 2022.
El equipo de investigación afirma que más de 100.000 organizaciones en todo el mundo han sido víctimas de ataques SSRF en los últimos meses, con la mayoría de las víctimas en EE. UU. y Europa. Se encontraron víctimas en múltiples sectores, incluidos las artes y el entretenimiento, la consultoría, el legal, la fabricación, el sector inmobiliario y el comercio mayorista.
“Si bien el vector de infección inicial sigue evolucionando y los actores de amenazas aprovechan rápidamente cualquier nueva oportunidad, sus actividades posteriores a la explotación son familiares. La mejor protección contra los ciberataques modernos es una arquitectura de defensa en profundidad”, escribió el equipo de Bitdefender.
“Comience por reducir su superficie de ataque, concentrándose en la administración de parches, no solo para Windows sino para todas las aplicaciones y servicios expuestos a Internet, y la detección de configuraciones incorrectas.
“La siguiente capa de seguridad debería ser controles de protección confiables de clase mundial que puedan eliminar la mayoría de los incidentes de seguridad, utilizando múltiples capas de seguridad, incluida la reputación de IP/URL para todos los puntos finales y protección contra ataques sin archivos.
“Implementar la reputación de IP, dominio y URL… es uno de los métodos más efectivos para detener las explotaciones automatizadas de vulnerabilidades. Según el análisis en el Informe de investigaciones de violación de datos 2022, solo el 0,4% de las IP que intentaron RCE no fueron vistas en uno de los ataques anteriores. Bloquee direcciones IP, dominios o URL incorrectos en todos los dispositivos, incluidos los terminales, y evite una brecha de seguridad en su entorno empresarial.
“Finalmente, para los pocos incidentes que atraviesan sus defensas, apóyese en las operaciones de seguridad, ya sea internamente o a través de un servicio administrado, y aproveche las sólidas herramientas de detección y respuesta. Los actores de amenazas modernos a menudo pasan semanas o meses realizando un reconocimiento activo en las redes, generando alertas y confiando en la ausencia de capacidades de detección y respuesta”, dijeron.
El equipo de Bitdefender encontró evidencia de múltiples tipos diferentes de ataques cibernéticos que se aprovechan de las dos cadenas de exploits.
Entre ellos se encontraban la implementación de herramientas de administración y acceso remoto, el uso de shells web, probablemente por parte de intermediarios de acceso inicial (IAB), la implementación del ransomware Cuba y el robo de credenciales.