Els actors maliciosos, rastrejats sota el nom en codi UTA0218, han aconseguit explotar aquesta vulnerabilitat per instal·lar un backdoor personalitzat als sistemes dels seus objectius. Aquest backdoor els permet realitzar una varietat d’activitats malicioses, incloent l’emissió de comandaments, l’inici de shells inversos i el robatori de dades sensibles. L’script de Python utilitzat en aquests atacs manipula astutament l’arxiu de configuració del sistema a /usr/lib/python3.6/site-packages/system.pth, convertint-lo en un conducte per executar comandaments codificats extrets dels registres d’accés del servidor web.
Aquests atacs han estat particularment nocius, permetent als pirates informàtics accedir a les xarxes internes de diverses organitzacions. Han utilitzat el seu accés per extreure arxius crítics d’entorns Windows, incloent bases de dades de l’Active Directory i dades de navegadors com Google Chrome i Microsoft Edge, comprometent credencials d’usuari i cookies. L’amplitud de les dades accedides subratlla el greu risc que aquest backdoor representa per a la seguretat interna i la integritat de les dades de les organitzacions.
La investigació de Volexity revela que aquests atacs probablement estan patrocinats per l’estat, donada la seva sofisticació i la naturalesa dels objectius involucrats. L’ús del backdoor per a l’exfiltració extensiva de dades i el control del sistema suggereix un alt nivell de capacitat i recursos dels actors de la amenaça. Palo Alto Networks ha respost a l’amenaça llançant correccions ràpides per a les versions afectades de PAN-OS i preveu llançar més pegats per a altres versions comunament utilitzades.
Aquest incident subratlla la importància crítica de mantenir pràctiques de seguretat actualitzades, incloent actualitzacions i pegats regulars, especialment per a dispositius que formen part de la infraestructura crítica d’una organització. També destaca els desafiaments continus en ciberseguretat, on grups patrocinats per estats exploten vulnerabilitats de gran nivell per dur a terme espionatge i atacs potencialment disruptius.
Source: Red Hot Cyber
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.