Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña de secuestro de DNS

  • Publicado: 22/04/2019
  • Importancia: Alta

Recursos afectados

En esta campaña los atacantes aprovecharon vulnerabilidades que se encuentran en phpMyAdmin, Drupal, Apache, etc.

  • CVE-2009-1151: Vulnerabilidad de inyección de código PHP que afecta a phpMyAdmin

    CVE-2014-6271: RCE que afecta al sistema bash de GNU, específicamente el SMTP 

    CVE-2017-3881: RCE por usuario no autenticado con privilegios elevados Cisco cambia

    CVE-2017-6736: Explotación remota de código (RCE) para el servicio integrado Cisco Router 2811

    CVE-2017-12617: RCE que afecta a los servidores web Apache que ejecutan Tomcat

    CVE-2018-0296: Cruce de directorios que permite el acceso no autorizado a dispositivos de seguridad adaptativos de Cisco (ASA) y firewalls

    CVE-2018-7600: RCE para el sitio web creado con Drupal, también conocido como "Drupalgeddon"

Una vez adentro de la red los atacantes accederían a las credenciales y cuando obtuvieron las credenciales apropiadas iniciaban sesión en el registro de DNS y modificaban la configuración para apuntar cualquier solicitud DNS destinada al dominio de destino a un servidor controlado por los atacantes.

La infraestructura de los atacantes estaba formada por servidores de nivel medio, pero estaba diseñada para parecer un servicio legítimo. Los usuarios eran dirigidos a páginas webs maliciosas con interfaces confiables y así para robar sus credenciales, posterior a eso los redireccionaban a la página legítima para no levantar sospechas.

Diagrama de la metodología de redirección.

Captura.jpg

40 organizaciones diferentes que han sido atacadas durante esta campaña, entre ellos:

  • Ministerios de asuntos exteriores
  • Organizaciones militares
  • Agencias de inteligencia
  • Organizaciones destacadas de energía.

El segundo grupo de organizaciones de víctimas que se vio comprometido para permitir el acceso a estos objetivos principales, son:

  • Organizaciones de telecomunicaciones
  • proveedores de servicio de Internet
  • Empresas de tecnología de la información
  • Registradores

 Zonas afectadas por el ataque.

Captura.jpg

Etiquetas