0
0
Os invasores estão explorando uma vulnerabilidade crítica (CVE-2022-47986) na solução de transferência centralizada de arquivos IBM Aspera Faspex para violar organizações.
Sobre CVE-2022-47986
O IBM Aspera Faspex é usado por organizações para permitir que os funcionários troquem arquivos entre si de forma rápida e segura. (Os arquivos são carregados e baixados de um servidor de transferência Aspera centralizado.)
CVE-2022-47986 é uma falha de desserialização YAML que pode ser acionada por invasores remotos que enviam uma chamada de API obsoleta especialmente criada. Ele afeta o IBM Aspera Faspex 4.4.2 Patch Level 1 e anterior e permite a execução de código arbitrário.
O problema, de acordo com a pesquisadora de segurança da Rapid7, Caitlin Condon, é que o Aspera Faspex é normalmente instalado no perímetro da rede e – obviamente – que algumas organizações não corrigiram essa falha de segurança específica quando a IBM disponibilizou os patches pela primeira vez .
Agora, com certeza, sua pontuação CVSS inicial (8,1) e o fato de ser a vulnerabilidade corrigida com a pontuação mais alta na época podem ter algo a ver com a decisão de não corrigir rapidamente.
Infelizmente para eles, a pontuação foi subseqüentemente aumentada para 9,8 (em 10) para refletir sua real gravidade. Mas, mais importante, Max Garrett – o pesquisador que o desenterrou – divulgou detalhes técnicos e código de exploração PoC.
Explorando CVE-2022-47986
Os invasores começaram a explorá-lo quase imediatamente e não pararam desde então.
No início de março, os pesquisadores do SentinelOne detectaram invasores empunhando o ransomware IceFire atingindo caixas Linux de organizações na Turquia, Irã, Paquistão e Emirados Árabes Unidos. Greynoise registrou várias tentativas de exploração no último mês.
Condon, da Rapid7, também diz que está ciente de pelo menos um incidente recente em que um cliente foi comprometido via CVE-2022-47986.
A empresa compartilhou indicadores de comprometimento que podem ser úteis para aqueles que foram comprometidos, mas ainda não tiveram o ransomware liberado em seus sistemas (se implantar ransomware e não exfiltração e extorsão de dados fosse o plano).
Administradores corporativos são aconselhados a atualizar seu servidor IBM Aspera Faspex imediatamente e procurar – e agir – evidências de comprometimento.
FONTE: HELPNET SECURITY