Se ha observado que los actores de amenazas explotan múltiples fallas de seguridad en varios productos de software, incluida la interfaz de usuario de Progress Telerik para ASP.NET AJAX y Advantive Veracore, para soltar capas inversas y conchas web, y mantener un acceso remoto persistente a los sistemas comprometidos.
La explotación del día cero de fallas de seguridad en Veracore se ha atribuido a un actor de amenaza conocido como XE Group, un grupo de delitos cibernéticos probables de origen vietnamita que se sabe que está activo desde al menos 2010.
«El Grupo Xe hizo la transición del descremado de tarjetas de crédito al robo de información específica, marcando un cambio significativo en sus prioridades operativas», dijo Intezer, la firma de seguridad cibernética, en un informe publicado en colaboración con Solis Security.
«Sus ataques ahora dirigen las cadenas de suministro en los sectores de fabricación y distribución, aprovechando nuevas vulnerabilidades y tácticas avanzadas».
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2024-57968 (Puntuación CVSS: 9.9): una carga sin restricciones de archivos con una vulnerabilidad de tipo peligroso que permite a los usuarios autenticados remotos cargar archivos a carpetas no deseadas (fijado en Veracode versión 2024.4.2.1)
- CVE-2025-25181 (Puntuación CVSS: 5.8) – Una vulnerabilidad de inyección SQL que permite a los atacantes remotos ejecutar comandos SQL arbitrarios (sin parche disponible)
Los últimos hallazgos de Intezer y Solis Security muestran que las deficiencias están siendo encadenadas para implementar capas web de ASPXSPY para acceso no autorizado a sistemas infectados, en un caso aprovechando CVE-2025-25181 hasta principios de 2020. La actividad de explotación se descubrió en noviembre. 2024.
Los shells web vienen equipados con capacidades para enumerar el sistema de archivos, exfiltrados los archivos y comprimirlos utilizando herramientas como 7Z. El acceso también se abusa de soltar una carga útil de meterpreter que intente conectarse a un servidor controlado por el actor («222.253.102 (.) 94: 7979») a través de un recipiente de Windows.
La variante actualizada del shell web también incorpora una variedad de características para facilitar el escaneo de red, la ejecución de comandos y la ejecución de consultas SQL para extraer información crítica o modificar los datos existentes.
Mientras que los ataques anteriores montados por XE Group han armado vulnerabilidades conocidas, a saber, fallas en la interfaz de usuario de Telerik para ASP.NET (CVE-2017-9248 y CVE-2019-18935, CVSS Puntores: 9.8), el desarrollo marca la primera vez que tiene el equipo de piratería. se ha atribuido a la explotación del día cero, lo que indica un aumento en la sofisticación.
«Su capacidad para mantener el acceso persistente a los sistemas, como se ve con la reactivación de un shell web años después del despliegue inicial, destaca el compromiso del grupo con los objetivos a largo plazo», dijeron los investigadores Nicole Fishbein, Joakim Kennedy y Justin Lentz.
«Al dirigirse a las cadenas de suministro en los sectores de fabricación y distribución, el grupo XE no solo maximiza el impacto de sus operaciones, sino que también demuestra una comprensión aguda de las vulnerabilidades sistémicas».
CVE-2019-18935, que fue marcado por las agencias gubernamentales del Reino Unido y EE. UU. En 2021 como una de las vulnerabilidades más explotadas, también ha sido objeto de una explotación activa tan recientemente como el mes pasado para cargar un shell inverso y ejecutar comandos de reconocimiento de seguimiento a través de CMD .exe.
«Si bien la vulnerabilidad en progreso de la interfaz de usuario de Telerik para ASP.NET Ajax tiene varios años, continúa siendo un punto de entrada viable para los actores de amenazas», dijo Esentire. «Esto resalta la importancia de los sistemas de parcheo, especialmente si van a estar expuestos a Internet».
CISA agrega 5 fallas al catálogo KEV
El desarrollo se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó cinco fallas de seguridad a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
- CVE-2025-0411 (Puntuación CVSS: 7.0) – Marca de 7 zip de la vulnerabilidad de bypass web
- CVE-2022-23748 (Puntuación CVSS: 7.8) – Vulnerabilidad de control de procesos de descubrimiento de Dante
- CVE-2024-21413 (Puntuación CVSS: 9.8) – Vulnerabilidad de validación de entrada inadecuada de Microsoft Outlook
- CVE-2020-29574 (Puntuación CVSS: 9.8) – Vulnerabilidad de inyección Cyberoamos (CROS) SQL
- CVE-2020-15069 (Puntuación CVSS: 9.8) – Vulnerabilidad de desbordamiento de búfer de firewall Sophos XG
La semana pasada, Trend Micro reveló que los trajes de ciberdrímes rusos están explotando CVE-2025-0411 para distribuir el malware Smokeloader como parte de campañas de phishing de lanza dirigidas a entidades ucranianas.
La explotación de CVE-2020-29574 y CVE-2020-15069, por otro lado, ha sido vinculada a una campaña de espionaje china rastreada por Sophos bajo el moniker Pacific Rim.
Actualmente no hay informes sobre cómo CVE-2024-21413, también rastreado como MonikerLink por Check Point, está siendo explotado en la naturaleza. En cuanto a CVE-2022-23748, la compañía de seguridad cibernética reveló a fines de 2022 que observó al actor de amenaza de Toddycat que aprovecha una vulnerabilidad de carga lateral de DLL en Audinate Dante Discovery («MdnSespondermon.exe»).
Las agencias federales de rama ejecutiva civil (FCEB) tienen el mandato de aplicar las actualizaciones necesarias antes del 27 de febrero de 2025, bajo la Directiva Operativa Bonstruosa (BOD) 22-01 para salvaguardar contra las amenazas activas.