Los piratas informáticos están construyendo una nueva y peligrosa botnet y la persiguen. microsoft y activos de AWS en el proceso, un nuevo aviso de seguridad publicado por el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), advirtió.
Según el aviso, los investigadores han detectado actores de amenazas que utilizan Androxgh0st. malware comprometer ordenadores y servidores.
Se les vio escaneando puntos finales en busca de tres vulnerabilidades de ejecución remota de código: CVE-2017-9841, CVE-2021-41773 y CVE-2018-15133. Al aprovechar estas fallas, los atacantes usarían Androxgh0st para capturar archivos .env que contienen datos confidenciales, incluidas (entre otras) credenciales de inicio de sesión para activos de AWS y MIcrosoft.
Mitigar la amenaza
Androxgh0st es capaz de algo más que “simplemente” comprometer dispositivos vulnerables y robar credenciales de inicio de sesión. También puede abusar del Protocolo simple de correo (SMTP) y verificar el límite de envío de las cuentas de correo electrónico encontradas en las computadoras violadas. Si el límite es satisfactorio, el malware se puede utilizar para montar campañas de phishing y spam.
Además, los piratas informáticos pueden utilizar el acceso a los activos de Microsoft y AWS para crear páginas falsas en sitios web comprometidos, lo que les otorga acceso por puerta trasera a bases de datos con información confidencial.
Para permanecer seguros, dicen el FBI y CISA, las organizaciones deben asegurarse de que sus sistemas operativos, software y firmware están todos actualizados. Se destacó como fundamental asegurarse de que sus servidores Apache no estén ejecutando las versiones 2.4.49 o 2.4.50. Además, deben asegurarse de que la configuración predeterminada para todos los URI sea denegar todas las solicitudes, a menos que exista una necesidad específica de que sea accesible. Además, las aplicaciones Laravel no deben estar en modo de depuración o prueba, y las credenciales de la nube no deben estar presentes en los archivos .env.
La lista completa de recomendaciones se puede encontrar en este BleepingEnlace informático.
CVE-2018-15133, descrita como deserialización de Laravel de una vulnerabilidad de datos no confiables, se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA como explotada activamente.