Un fallo de seguridad crítico en la implementación de PHP-CGI en Windows está siendo activamente explotado por ciberdelincuentes, permitiéndoles ejecutar código remoto y tomar control de sistemas vulnerables. La vulnerabilidad, identificada como CVE-2024-4577, ha sido utilizada para atacar sectores clave como tecnología, telecomunicaciones, educación y comercio electrónico, con un foco particular en empresas de Japón.
Explotación del fallo y cadena de ataque
El ataque comienza con la explotación de CVE-2024-4577, lo que otorga acceso inicial a los atacantes, quienes ejecutan scripts de PowerShell para desplegar una carga útil de Cobalt Strike TaoWu, asegurándose un acceso remoto persistente a los sistemas comprometidos.
Una vez dentro, los atacantes llevan a cabo una serie de acciones para escalar privilegios y moverse lateralmente dentro de la red, utilizando herramientas como:
- JuicyPotato, RottenPotato y SweetPotato: Para escalar privilegios.
- Fscan y Seatbelt: Para realizar reconocimiento de la red y obtener credenciales.
Además, los ciberdelincuentes establecen persistencia mediante modificaciones en el Registro de Windows, la creación de tareas programadas y la instalación de servicios personalizados.
Borrado de rastros y robo de credenciales
Para evitar la detección, los atacantes eliminan registros de eventos de Windows con comandos wevtutil, eliminando evidencias de su actividad maliciosa. Finalmente, ejecutan Mimikatz para extraer y exfiltrar contraseñas y hashes NTLM directamente desde la memoria del sistema comprometido.
El análisis de los servidores de comando y control (C2) utilizados en esta campaña revela que los atacantes cometieron un error crítico: dejaron listados de directorios accesibles en Internet, exponiendo todo su arsenal de herramientas maliciosas almacenadas en servidores de Alibaba Cloud.
Herramientas utilizadas en los ataques
Entre las herramientas identificadas en los servidores C2 destacan:
- BeEF (Browser Exploitation Framework): Un software de pruebas de penetración usado para ejecutar comandos dentro del navegador.
- Viper C2: Un framework modular que facilita la ejecución remota de comandos y la creación de shells inversos.
- Blue-Lotus: Un kit de ataque basado en JavaScript utilizado para ataques XSS (Cross-Site Scripting), robo de cookies, obtención de shells remotos y manipulación de cuentas en sistemas de gestión de contenido (CMS).
Implicaciones y riesgos futuros
Según el análisis de los expertos de Cisco Talos, la motivación de estos atacantes va más allá del simple robo de credenciales. La combinación de persistencia, escalamiento de privilegios y el uso de marcos de ataque avanzados sugiere que esta campaña puede ser solo el inicio de operaciones más amplias en el futuro.
La explotación de CVE-2024-4577 representa un riesgo significativo para las organizaciones que utilizan PHP en entornos Windows. Es fundamental aplicar parches de seguridad de inmediato y reforzar las defensas contra técnicas de persistencia y movimiento lateral.
Recomendaciones para mitigar el riesgo
- Actualizar PHP a la última versión disponible para corregir la vulnerabilidad.
- Deshabilitar PHP-CGI en servidores Windows si no es estrictamente necesario.
- Implementar listas blancas de ejecución de software para evitar la ejecución de herramientas maliciosas como Cobalt Strike.
- Monitorear el tráfico de red y los registros de eventos en busca de actividad inusual, especialmente intentos de ejecución de PowerShell o modificación de claves del Registro.
- Aplicar el principio de privilegios mínimos para evitar que cuentas comprometidas escalen permisos dentro del sistema.
El uso cada vez más sofisticado de herramientas como Cobalt Strike, combinado con la exposición de servidores C2 en Internet, demuestra que los atacantes están operando con confianza y acceso a recursos avanzados. Es crucial que las organizaciones afectadas respondan con rapidez para prevenir compromisos a gran escala.
vía: The Hacker news
