Atores de ameaças estão explorando uma vulnerabilidade crítica em um aplicativo de troca de arquivos da IBM em hacks que instalam ransomware em servidores, alertaram pesquisadores de segurança.
O IBM Aspera Faspex é um aplicativo de troca de arquivos centralizado que grandes organizações usam para transferir arquivos grandes ou grandes volumes de arquivos em velocidades muito altas. Em vez de depender de tecnologias baseadas em TCP, como FTP, para mover arquivos, o Aspera usa o FASP proprietário da IBM — abreviação de Quick, Adaptive e Safe Protocol — para utilizar melhor a largura de banda de rede disponível. O produto também fornece gerenciamento refinado que torna mais fácil para os usuários enviar arquivos para uma lista de destinatários em listas de distribuição ou caixas de entrada compartilhadas ou grupos de trabalho, dando às transferências um fluxo de trabalho semelhante ao e-mail.
No closing de janeiro, a IBM avisou de uma vulnerabilidade crítica no Aspera versões 4.4.2 Patch Nível 1 e anteriores e instou os usuários a instalar uma atualização para corrigir a falha. Rastreada como CVE-2022-47986, a vulnerabilidade permite que agentes de ameaças não autenticados executem remotamente códigos maliciosos enviando chamadas especialmente criadas para uma interface de programação desatualizada. A facilidade de explorar a vulnerabilidade e o dano que poderia resultar rendeu ao CVE-2022-47986 uma classificação de gravidade de 9,8 em 10 possíveis.
Na terça-feira, pesquisadores da empresa de segurança Rapid7 disse eles responderam recentemente a um incidente no qual um cliente foi violado usando a vulnerabilidade.
“A Rapid7 está ciente de pelo menos um incidente recente em que um cliente foi comprometido by way of CVE-2022-47986”, escreveram os pesquisadores da empresa. “À luz da exploração ativa e do fato de que o Aspera Faspex é normalmente instalado no perímetro da rede, recomendamos enfaticamente a aplicação de patches em caráter de emergência, sem aguardar a ocorrência de um ciclo de patch típico.”
De acordo com outros pesquisadores, a vulnerabilidade está sendo explorada para instalar ransomware. Os pesquisadores do Sentinel One, por exemplo, disse recentemente que um grupo de ransomware conhecido como IceFire estava explorando o CVE-2022-47986 para instalar uma versão Linux recém-criada de seu malware de criptografia de arquivos. Anteriormente, o grupo enviava apenas uma versão do Home windows instalada por meio de e-mails de phishing. Como os ataques de phishing são mais difíceis de realizar em servidores Linux, o IceFire aproveitou a vulnerabilidade da IBM para espalhar sua versão Linux. Os pesquisadores também relataram que a vulnerabilidade é sendo explorado para instalar o ransomware conhecido como Buhti.
Conforme observado anteriormente, a IBM corrigiu a vulnerabilidade em janeiro. A IBM republicou seu comunicado no início deste mês para garantir que ninguém o perdesse. As pessoas que desejam entender melhor a vulnerabilidade e como mitigar possíveis ataques contra servidores Aspera Faspex devem verificar as postagens aqui e aqui das empresas de segurança Assetnote e Rapid7.
