Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Casi 100.000 web shells detectados en servidores Exchange

Si bien la cantidad de servidores Microsoft Exchange vulnerables a ProxyLogon puede estar disminuyendo, una nueva investigación ha mostrado una gran cantidad de shells web maliciosos al acecho dentro de las organizaciones.

El proveedor de inteligencia de amenazas Kryptos Logic dijo el martes que encontró casi 100,000 web shells activos durante los escaneos de Internet de ProxyLogon, la más grave de las cuatro vulnerabilidades en el software Exchange Server de Microsoft reveladas a principios de este mes. La compañía dijo en Twitter que escaneó 250.000 direcciones IP únicas y encontró 29.796 servidores Exchange vulnerables, junto con 97.827 shells en 15.150 direcciones IP.

«Parchee y ejecute la herramienta MSERT de Microsoft para limpiar cualquier webshells», escribió Kryptos Logic en Gorjeo.

El 2 de marzo, Microsoft informó que un grupo de APT chino conocido como Hafnium aprovechó las cuatro vulnerabilidades de día cero para atacar versiones locales de sus servidores de correo electrónico Exchange. Los atacantes colocaron proyectiles web dentro de las redes de las víctimas para utilizarlos como puertas traseras. Aunque Microsoft lanzó parches y recomendó que los clientes aplicaran las actualizaciones a los sistemas afectados de inmediato, una amplia gama de víctimas aún se vio afectada, y los shells web pueden dar acceso a los actores de amenazas a los servidores de Exchange incluso después de haber sido parcheados.

El lunes, Centro de respuesta de seguridad de Microsoft tuiteó que «el 92% de los protocolos de Internet (IP) de Exchange en todo el mundo ahora estaban parcheados o mitigados». Pero el análisis reciente de Kryptos Logic muestra que un número significativo de organizaciones pueden estar infectadas con puertas traseras. Según una publicación de blog de Microsoft, «los shells web permiten potencialmente a los atacantes robar datos y realizar acciones maliciosas adicionales para comprometer aún más».

CONTENIDO RELACIONADO  4 consejos sobre cómo ponerse al día con el RGPD para empresas de EE. UU.

No está claro qué atacantes o cuántos atacantes están detrás de los shells web detectados. Inicialmente, los ataques a los servidores Exchange se atribuyeron al grupo de amenazas Hafnium; sin embargo, Microsoft observó más tarde que varios grupos de amenazas apuntaban a sistemas sin parches.

Un informe conjunto de la semana pasada de Kryptos Logic y Shadow Server Foundation, una organización de seguridad de información sin fines de lucro, analizó los datos de un escaneo del servidor Exchange y abordó a los posibles atacantes. «Se ha informado ampliamente que varios grupos de actores de amenazas están realizando ataques masivos, por lo que estos datos no se atribuyen al grupo de actores de amenazas HAFNIUM», dijo el informe.

El informe se basó en datos de un escaneo de Kryptos Logic realizado el 13 de marzo para detectar shells web que «probablemente se eliminaron por explotación» de las cuatro vulnerabilidades en Microsoft Exchange Server. Según el informe, «el conjunto de datos total distribuido a 120 CSIRT nacionales [computer security incident response teams] en 148 países y más de 5900 propietarios de red cubre 6720 rutas URL de shell web únicas correspondientes a 5818 direcciones IP únicas que se evaluaron el 13 de marzo como servidores Microsoft Exchange comprometidos con shells web activos en rutas URL comunes «.

Al igual que Kryptos Logic, Shadow Server Foundation también recomendó la remediación.

«Cualquiera con la URL simple y fácil de adivinar para cualquiera de estos shells web podría potencialmente comprometer una mayor parte de su infraestructura. Recomendamos encarecidamente a los propietarios de redes y a los CERT / CSIRT nacionales que remedian urgentemente y parcheen / reconstruyan todos los sistemas de víctimas afectados de inmediato», dice el informe. .

CONTENIDO RELACIONADO  La verdadera prueba de un proveedor de software

Kryptos Logic no es el primer proveedor que observa un aumento en los web shells. En una publicación de blog del 27 de febrero, Rapid7 dijo que comenzó a detectar un aumento «notable» en los ataques a las instalaciones de Microsoft Exchange Server que involucran un shell web malicioso conocido como «China Chopper», que es popular entre los actores de amenazas chinos.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Qué está cubierto y qué no

Los datos rastreados y recopilados por la tecnología de salud portátil que muchas personas piensan que deberían estar cubiertos por HIPAA pueden, de hecho, no estarlo. «Las cosas que usted cree que son datos de

¿Qué es pasajero artificial (AP)?

Un pasajero artificial (AP) es un dispositivo que se usaría en un vehículo de motor para asegurarse de que el conductor permanezca despierto. IBM ha desarrollado un prototipo que mantiene una conversación con un conductor,

MS retrocede forzando actualizaciones

Las dos últimas actualizaciones de funciones de Win10 (1803 y 1809) han tenido problemas. También ha habido muchas quejas de los usuarios comerciales sobre las actualizaciones. Finalmente, Microsoft está cambiando su postura sobre impulsar actualizaciones.

¿Por qué se actualizaría manualmente a Windows 10?

Cuando TI realiza una actualización o migración del sistema operativo, la mejor práctica tradicionalmente ha sido automatizar el proceso. Pasar a la automatización tiene sentido porque las actualizaciones y migraciones manuales no se escalan bien.

Trump apunta al hack de DNC y CrowdStrike

Escuche este podcast De esta semana Riesgo y repetición El podcast analiza los comentarios recientes del presidente Trump sobre CrowdStrike y el ‘servidor’ del DNC y la información errónea sobre la interferencia electoral rusa. Una

Asegurar el IoT y la conexión a la nube

El mercado digital altamente competitivo e hiperconectado de hoy está impulsando nuevas tendencias en redes y seguridad, incluida la rápida adopción de servicios en la nube y dispositivos de IoT. Estos dos elementos de la

¿Qué es Puppet (Puppet Labs)?

Puppet es una herramienta de gestión de sistemas de código abierto para centralizar y automatizar la gestión de la configuración. La gestión de la configuración es el registro detallado y la actualización de información que

El ajuste del conmutador virtual optimiza la red ESXi

Para optimizar las redes ESXi, un administrador debe configurar al menos dos redes para evitar posibles problemas de congestión o fallas de hardware. Este tutorial explicará cómo agregar un nuevo conmutador virtual y configurarlo para

¿Qué es ATX? – Definición de Krypton Solid

ATX es una especificación de toda la industria para la placa base de una computadora de escritorio. ATX mejora el diseño de la placa base tomando la placa base AT pequeña (a veces conocida como

Pruebas seguras: hacer que el software sea seguro

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Abril de 2016 Pruebas seguras: hacer que el software sea seguro La tecnología de software ha impactado a casi todos en todas partes con

Mejores prácticas de gestión de proyectos para pymes

La gestión de proyectos se considera comúnmente como una práctica adecuada principalmente para empresas más grandes. Pero en estos días, los propietarios y empleados de pequeñas y medianas empresas también deben pensar en la disciplina.

¿Qué son las cuentas por cobrar (AR)?

Las cuentas por cobrar (AR) es un elemento en el libro mayor (GL) que muestra el dinero adeudado a una empresa por los clientes que han comprado bienes o servicios a crédito. AR es lo

El reinicio borra el error de Defender 0x80070643

Mientras realizaba mi comprobación habitual de los sistemas de prueba esta mañana, encontré un error. En mi Surface Pro 3, apareció en Configuración → Actualización y seguridad → Actualización de Windows. Al descargar una actualización

¿Qué es el procesador de aplicaciones móviles?

Un procesador de aplicaciones móviles es un sistema en un chip (SoC) diseñado para admitir aplicaciones que se ejecutan en un entorno de sistema operativo móvil. Un procesador de aplicaciones móviles proporciona un entorno operativo

Deja un comentario