Ivanti advierte sobre la explotación activa de una vulnerabilidad crítica

Ivanti ha emitido una advertencia sobre la explotación activa de una vulnerabilidad crítica (CVE-2025-0282, puntuación CVSS: 9.0) en los productos Ivanti Connect Secure, Policy Secure y Neurons for ZTA Gateways. El fallo, un desbordamiento de búfer basado en pila, permite la ejecución remota de código no autenticado y afecta a las versiones anteriores a la 22.7R2.5.

La empresa de seguridad Mandiant atribuye los ataques a un actor de amenazas vinculado a China, UNC5337, destacando el uso de malware no documentado previamente, llamado DRYHOOK y PHASEJAM, como parte del ecosistema de malware SPAWN. Los atacantes deshabilitaron SELinux, modificaron registros, desplegaron web shells y ejecutaron scripts para mantener la persistencia.

Ivanti ha lanzado un parche e insta a realizar actualizaciones inmediatas. La agencia estadounidense CISA ha añadido la CVE-2025-0282 a su lista de vulnerabilidades conocidas, estableciendo el 15 de enero de 2025 como fecha límite de cumplimiento. Se recomienda a las organizaciones que escaneen sus sistemas en busca de señales de compromiso y reporten cualquier actividad sospechosa.

Atos niega una brecha tras las acusaciones del grupo ransomware Space Bears

El gigante francés de servicios de TI Atos ha negado que sus sistemas hayan sido comprometidos tras las afirmaciones del grupo ransomware Space Bears, que asegura haber robado una “base de datos de la empresa”.

Atos confirmó que investigó las afirmaciones y no encontró "ninguna evidencia de compromiso o ransomware que afecte a los sistemas de Atos/Eviden a nivel global" y que no ha recibido ninguna solicitud de rescate. Sin embargo, la empresa reconoció que datos relacionados con su nombre fueron obtenidos de un sistema externo de terceros no conectado a su infraestructura.

El grupo Space Bears, activo desde la primavera de 2024, ha listado a más de 40 víctimas en su sitio de filtraciones en la dark web y amenaza con publicar los presuntos datos de Atos. La empresa ha asegurado a sus clientes que sus datos propietarios, el código fuente y la propiedad intelectual permanecen seguros.

Nuevo botnet basado en Mirai apunta a routers industriales y dispositivos smart home

Un botnet basado en Mirai está evolucionando rápidamente, utilizando exploits zero-day para atacar vulnerabilidades en routers industriales y dispositivos smart home. Descubierto a principios de 2024, actualmente controla 15.000 nodos activos diarios, principalmente en China, EE. UU., Rusia, Turquía e Irán.

Los investigadores de Chainxin X Lab revelaron que el botnet comenzó a explotar vulnerabilidades desconocidas en noviembre de 2024, incluida la CVE-2024-12856, un fallo en los routers industriales Four-Faith identificado en diciembre. También apunta a los routers Neterbit y dispositivos smart home Vimar.

El objetivo principal del botnet es lanzar ataques de denegación de servicio distribuido (DDoS), a menudo superiores a 100 Gbps, provocando interrupciones significativas. A pesar de su corta duración (10 a 30 segundos), la intensidad lo hace efectivo incluso contra infraestructuras robustas.

Se recomienda a los usuarios actualizar el firmware de sus dispositivos, desactivar accesos remotos innecesarios y cambiar las credenciales de administrador por defecto. El alcance global del botnet destaca la necesidad crítica de mejorar las medidas de seguridad para dispositivos IoT.

GorillaBot: nuevo botnet inspirado en Mirai apunta a sectores globales

La empresa de ciberseguridad NSFOCUS ha descubierto una nueva familia de malware botnet, Gorilla (también conocido como GorillaBot), basada en el código fuente filtrado del botnet Mirai. Entre el 4 y el 27 de septiembre de 2024, el botnet emitió más de 300.000 comandos de ataque, con un promedio de 20.000 ataques DDoS diarios.

GorillaBot ha atacado universidades, sitios gubernamentales, empresas de telecomunicaciones, bancos y sectores de juegos y apuestas en más de 100 países. Los países más afectados incluyen China, EE. UU., Canadá y Alemania. El botnet utiliza métodos de DDoS como inundación UDP, SYN y ACK, aprovechando la suplantación de direcciones IP UDP para amplificar los ataques.

Capaz de operar en múltiples arquitecturas de CPU, GorillaBot también explota una vulnerabilidad conocida de Apache Hadoop YARN para ejecutar código remoto. Mantiene la persistencia mediante servicios systemd y archivos de inicio modificados.

NSFOCUS destaca los métodos sofisticados de cifrado y las tácticas de evasión, relacionándolos con el grupo Keksec, aunque algunos investigadores aseguran que GorillaBot ha estado activo durante más de un año.

Intentos de explotación de la vulnerabilidad crítica CVE-2024-52875 de KerioControl

Los hackers están explotando la CVE-2024-52875, una vulnerabilidad CRLF injection crítica en los firewalls GFI KerioControl que permite la ejecución remota de código con un solo clic. El fallo, divulgado por el investigador Egidio Romano en diciembre de 2024, afecta a las versiones 9.2.5 a 9.4.5 y se debe a una sanitización incorrecta del parámetro ‘dest’, lo que permite la inyección de payloads maliciosos en las respuestas HTTP.

Los atacantes pueden inyectar JavaScript para extraer cookies o tokens CSRF de los navegadores de las víctimas. Utilizando el token CSRF de un administrador autenticado, pueden cargar un archivo .IMG malicioso para obtener acceso root mediante la función de actualización de Kerio, abriendo una shell inversa.

Greynoise ha detectado intentos de explotación activa desde múltiples direcciones IP, mientras que Censys informa que existen más de 23.000 instancias de KerioControl expuestas en internet. GFI Software ha publicado la versión 9.4.5 Patch 1 y recomienda aplicar la actualización de inmediato.

Los administradores que no puedan aplicar la actualización deben limitar el acceso a la interfaz web a direcciones IP de confianza, desactivar el acceso público a las páginas '/admin' y monitorizar el parámetro ‘dest’ para detectar anomalías.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.