Observatorio de Amenazas

Nueva Puerta Trasera Msupedge Explota Vulnerabilidad Crítica de PHP

Escrito por Javiera González | 22-08-24

Se ha detectado una nueva y sofisticada puerta trasera, denominada Msupedge, que está siendo utilizada por actores de amenazas desconocidos para comprometer sistemas Windows, especialmente aquellos que ejecutan PHP en modo CGI. Esta amenaza aprovecha una vulnerabilidad crítica recientemente parcheada (CVE-2024-4577), lo que la convierte en una amenaza inminente para todas las organizaciones que utilicen PHP.

Análisis de la amenaza

Puerta Trasera Msupedge:

      • Funcionalidades: Más allá de las capacidades básicas mencionadas anteriormente, Msupedge presenta características avanzadas como la persistencia, la evasión de sistemas de detección y la capacidad de lateralizar dentro de una red comprometida.
      • Comunicación: El uso de túneles DNS permite a los atacantes establecer canales de comunicación encriptados y difíciles de rastrear, lo que dificulta la detección y respuesta a incidentes.
      • Objetivos: Si bien se ha observado principalmente afectando a instituciones académicas, existe un alto riesgo de que esta amenaza se extienda a otros sectores, incluyendo empresas, gobiernos y organizaciones sin fines de lucro.

Vulnerabilidad CVE-2024-4577:

      • Explotación: La facilidad con la que se puede explotar esta vulnerabilidad, combinada con la amplia base de instalaciones de PHP, la convierte en un objetivo altamente atractivo para los ciberdelincuentes.
      • Implicaciones: Una explotación exitosa puede permitir a los atacantes tomar el control completo de un sistema, robar datos confidenciales, cifrar archivos (ransomware) o incluso utilizar el sistema comprometido como plataforma para lanzar ataques a otros objetivos.

Actores de la Amenaza:

      • Motivaciones: Los motivos detrás de estos ataques pueden variar, desde el espionaje industrial hasta el chantaje financiero.
      • Perfil: Los atacantes involucrados en esta campaña son altamente sofisticados y cuentan con conocimientos técnicos avanzados.

Impacto y consecuencias

  • Disrupción de Negocios: Las consecuencias de un ataque exitoso pueden ser devastadoras, incluyendo la pérdida de datos críticos, la interrupción de las operaciones y daños a la reputación de la organización.
  • Costos Financieros: Los costos asociados a una violación de datos pueden ser significativos, incluyendo gastos legales, costos de recuperación de datos y daños a la marca.
  • Cumplimiento Normativo: Las organizaciones pueden enfrentar multas y sanciones regulatorias si no cumplen con los requisitos de seguridad de datos.

¿Qué medidas debe tomar su organización?

Recomendaciones de Seguridad

Aplicar parches inmediatamente:

  • Actualice todas las instalaciones de PHP a las versiones más recientes para parchear la vulnerabilidad CVE-2024-4577.
  • Asegúrese de que todos los sistemas operativos y aplicaciones estén actualizados con los últimos parches de seguridad.

Fortalecer la higiene cibernética:

Monitorear la actividad de la red:

  • Buscar actividad inusual en la red, como un aumento en el tráfico DNS o conexiones a direcciones IP desconocidas.
  • Utilizar herramientas de análisis de logs para detectar posibles indicios de compromiso.

Realizar copias de seguridad regulares:

  • Mantener copias de seguridad actualizadas y almacenadas de forma segura para facilitar la recuperación en caso de un ataque.

Capacitar a los empleados:

  • Concientizar a los empleados sobre las últimas amenazas cibernéticas y las mejores prácticas de seguridad.
  • Realizar simulacros de ataques cibernéticos para evaluar la preparación de la organización.

Además de las recomendaciones mencionadas anteriormente, se sugiere lo siguiente:

  • Segmentación de redes: Dividir la red en zonas de seguridad más pequeñas puede limitar el impacto de una infección.
  • Principio de mínimos privilegios: Otorgar a los usuarios solo los permisos necesarios para realizar sus tareas.
  • Pruebas de penetración: Realizar pruebas de penetración periódicas para identificar vulnerabilidades y evaluar la efectividad de las medidas de seguridad.
  • Planes de respuesta a incidentes: Desarrollar y probar regularmente un plan de respuesta a incidentes para minimizar el impacto de un ataque.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Fuentes

https://www.bleepingcomputer.com/news/security/hackers-use-php-exploit-to-backdoor-windows-systems-with-new-malware/

https://thehackernews.com/2024/08/hackers-exploit-php-vulnerability-to.html

https://therecord.media/hackers-malware-university-taiwan-backdoor