Los expertos en seguridad dicen que la vulnerabilidad crítica de Apache Struts, descubierta la semana pasada, está siendo explotada activamente para instalar maliciosamente un popular minero de criptomonedas oculto en el sistema de la víctima.
Los expertos de Volexity informaron a principios de esta semana que notaron actividad sospechosa poco después de que se hiciera pública una maqueta funcional de software que explotaba la vulnerabilidad.
Volexity concluye que los ataques vistos hasta ahora, "en la naturaleza", utilizan código tomado directamente de la Prueba de concepto publicada públicamente. En este caso, Apache Struts es vulnerable a una validación inadecuada del espacio de nombres de los datos entrantes, una falla que es fácil de explotar.
El 27 de agosto de 2018, Volexity descubrió al menos un malware que intentaba explotar CVE-2018-11776 en masa para instalar el minero de criptomonedas CNRig desde el repositorio de BitBucket. Los escaneos detectados inicialmente procedían de las direcciones IP rusas y francesas 95.161.225.94 y 167.114.171.27.
La vulnerabilidad CVSS 10.0 fue revelada la semana pasada, y los expertos instaron a los administradores a instalar parches para proteger sus sistemas lo antes posible. La Apache Software Foundation recomienda encarecidamente actualizar su software a Struts 2.3.35 o Struts 2.5.17.
Las organizaciones que no instalan una actualización o un parche con suficiente rapidez pueden correr un riesgo aún mayor, ya que la vulnerabilidad en sí misma permite la ejecución remota de código y, en teoría, permite a los atacantes obtener acceso completo al sistema de destino.
Recorded Future informó que había encontrado referencias al uso de esta vulnerabilidad en varios foros de hackers chinos y rusos, mientras que Volexity afirmó que había "observado varios grupos de APT utilizando las vulnerabilidades de Apache Struts para acceder a redes específicas".
Trend Micro publicó su informe semestral esta semana, revelando que las detecciones de mineros de criptomonedas en la primera mitad de 2017 se han disparado un 956 % en comparación con la primera mitad de este año.
Basado en materiales de InfoSecurity
Leer también
Los estafadores roban información de tarjetas de crédito al anunciar criptomonedas falsas en Facebook
Twitter ya está tan lleno de anuncios falsos que los estafadores han decidido trasladarse a Facebook. A diferencia de las estafas estándar de obsequios de Bitcoin en Twitter, los estafadores en Facebook estafan a los usuarios para obtener la información de sus tarjetas de crédito.
Los piratas informáticos del grupo Lazarus atacan a los usuarios de macOS
Los investigadores han descubierto una serie de ataques de la organización Lazarus, que ataca los intercambios de criptomonedas distribuyendo malware a los usuarios de macOS. Según Kaspersky Lab, una red de plataformas de criptomonedas con sede en Asia fue infectada con el troyano Lazarus, lo que provocó la propagación de malware a computadoras con sistemas operativos Windows y macOS.
