La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el miércoles tres defectos de seguridad, cada uno impactando a Ami Megarac, el enrutador D-Link DIR-859 y Fortinet Fortios, a su conocido catálogo de vulnerabilidades explotadas (KEV), basadas en evidencia de explotación activa.
La lista de vulnerabilidades es la siguiente –
- CVE-2024-54085 (Puntuación CVSS: 10.0) – Una autenticación derivada al falsificar la vulnerabilidad en la interfaz de host Redfish de AMI Megarac SPX que podría permitir que un atacante remoto tome el control
- CVE-2024-0769 (Puntuación CVSS: 5.3)-Una vulnerabilidad de transversal de ruta en enrutadores D-Link DIR-859 que permite la escalada de privilegios y el control no autorizado (sin parches)
- CVE-2019-6693 (Puntuación CVSS: 4.2): una vulnerabilidad de clave criptográfica codificada en Fortios, Forttimanager y Fortianalyzer que se usa para cifrar datos de contraseña en la configuración de CLI, lo que potencialmente permite a un atacante con acceso a la configuración de CLI o al archivo de copia de seguridad de CLI para descifrar los datos sensibles de los datos sensibles.
La compañía de seguridad de firmware Eclypsium, que reveló CVE-2024-54085 a principios de este año, dijo que la falla podría explotarse para llevar a cabo una amplia gama de acciones maliciosas, incluida la implementación de malware y manipulación con firmware de dispositivos.
Actualmente no hay detalles sobre cómo la deficiencia se está armando en la naturaleza, que puede estar explotándola y la escala de los ataques. Cuando se contactó para hacer comentarios, Eclypsium dijo que no ha habido una atribución pública por estos ataques, pero sospecha de actores de amenaza de China-Nexus como Volt Typhoon, Salt Typhoon, Flax Typhoon, APT31, APT41 y Velvet Ant como «candidatos probables».
Dijo que algunos de estos grupos patrocinados por el estado se han implicado en campañas que giran en torno al uso de puertas traseras de firmware e implantes de interfaz de firmware extensible (UEFI) unificados para persistencia y sigilo.
«La vulnerabilidad se puede explotar haciendo una solicitud de publicación HTTP a un dispositivo BMC vulnerable», dijo Paul Asadoorian, investigador de seguridad principal de Eclypsium, a The Hacker News. «Se publicó el código de explotación de ejemplo, lo que permite a un atacante remoto crear una cuenta de administrador en el BMC sin autenticación previa».
«Hasta donde sabemos, cómo los atacantes usaron la exploit en los detalles salvajes, posteriores a la explotación, las muestras de COI y malware no se han puesto a disposición del público».
Algunas de las acciones posteriores a la explotación que un atacante puede llevar a cabo después de un compromiso de BMC se enumeran a continuación –
- Los atacantes podrían encadenar múltiples exploits de BMC para implantar el código malicioso directamente en el firmware del BMC, lo que hace que su presencia sea extremadamente difícil de detectar y permitiéndoles sobrevivir a las reinstalaciones del sistema operativo o incluso los reemplazos de disco.
- Al operar por debajo del sistema operativo, los atacantes pueden evadir la protección del punto final, el registro y la mayoría de las herramientas de seguridad tradicionales.
- Con BMC Access, los atacantes pueden encender o desactivar de forma remota, reiniciar o reimular el servidor, independientemente del estado del sistema operativo primario.
- Los atacantes pueden raspar las credenciales almacenadas en el sistema, incluidas las utilizadas para la administración remota, y usar el BMC como un lanzamiento de la plataforma para moverse lateralmente dentro de la red
- Los BMC a menudo tienen acceso a la memoria del sistema y las interfaces de red, lo que permite a los atacantes oler datos confidenciales o exfiltrarse sin detección sin detección
- Los atacantes con acceso a BMC pueden corromper intencionalmente el firmware, lo que hace que los servidores no se puedan inclinar y causan una interrupción operativa significativa
Eclypsium también señaló que hay alrededor de 2,000 BMC AMI Megarac expuestos accesibles en Internet, con muchos más accesibles internamente. Las empresas que se sabe que usan la línea de productos afectadas incluyen AMD, Ampere Computing, Asrock, Arm, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro y Qualcomm.
La explotación de CVE-2024-0769 fue revelada por la firma de inteligencia de amenazas Greynoise exactamente hace un año como parte de una campaña diseñada para descargar nombres de cuentas, contraseñas, grupos y descripciones para todos los usuarios del dispositivo.
Vale la pena señalar que los enrutadores D-Link DIR-859 han alcanzado el final de la vida (EOL) a diciembre de 2020, lo que significa que la vulnerabilidad permanecerá sin parpadear en estos dispositivos. Se recomienda a los usuarios que se retiren y reemplace el producto.
En cuanto al abuso de CVE-2019-6693, múltiples proveedores de seguridad han informado que los actores de amenaza vinculados al esquema de ransomware Akira han aprovechado la vulnerabilidad para obtener acceso inicial a las redes de destino.
A la luz de la explotación activa de estos defectos, las agencias de la rama ejecutiva civil federal (FCEB) deben aplicar las mitigaciones necesarias antes del 16 de julio de 2025 para asegurar sus redes.
(La historia se actualizó después de la publicación para incluir una respuesta de Eclypsium).