Los actores maliciosos, rastreados bajo el nombre en código UTA0218, han logrado explotar esta vulnerabilidad para instalar un backdoor personalizado en los sistemas de sus objetivos. Este backdoor les permite realizar una variedad de actividades maliciosas, incluyendo emitir comandos, iniciar shells inversas y robar datos sensibles. El script de Python utilizado en estos ataques manipula astutamente el archivo de configuración del sistema en /usr/lib/python3.6/site-packages/system.pth, convirtiéndolo en un conducto para ejecutar comandos codificados extraídos de los registros de acceso del servidor web.
Estos ataques han sido particularmente dañinos, permitiendo a los hackers acceder a las redes internas de diversas organizaciones. Han utilizado su acceso para extraer archivos críticos de entornos Windows, incluidos las bases de datos de Active Directory y datos de navegadores como Google Chrome y Microsoft Edge, comprometiendo credenciales de usuario y cookies. La amplitud de los datos accedidos subraya el grave riesgo que este backdoor representa para la seguridad interna y la integridad de datos de las organizaciones.
La investigación de Volexity revela que estos ataques probablemente son patrocinados por el estado, dado su sofisticación y la naturaleza de los objetivos involucrados. El uso del backdoor para la exfiltración de datos extensa y el control del sistema sugiere un alto nivel de capacidad y recursos de los actores de amenazas. Palo Alto Networks ha respondido a la amenaza lanzando correcciones rápidas para las versiones afectadas de PAN-OS y planea lanzar parches adicionales para otras versiones comúnmente utilizadas.
Este incidente subraya la importancia crítica de mantener prácticas de seguridad actualizadas, incluyendo actualizaciones y parches regulares, especialmente para dispositivos que forman parte de la infraestructura crítica de una organización. También destaca los desafíos continuos en ciberseguridad, donde grupos patrocinados por estados explotan vulnerabilidades de alto nivel para realizar espionaje y ataques potencialmente disruptivos.
Source: Red Hot Cyber
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.