En un aviso conjunto emitido el 10 de octubre de 2024, las agencias cibernéticas de EE. UU. y el Reino Unido advirtieron sobre continuos ataques de piratas informáticos rusos dirigidos a servidores vulnerables de Zimbra y JetBrains TeamCity.
El aviso, emitido por la NSA, el FBI, el Grupo de Trabajo Nacional Cibernético del Comando Cibernético de EE. UU. (CNMF) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), se centra en las tácticas, técnicas y procedimientos (TTP) empleados. por el Servicio de Inteligencia Exterior de Rusia. Estas operaciones cibernéticas utilizan (SVR).
SVR, también conocido como APT29, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y Dukes, recopila información en el extranjero y permite futuros ciberataques en los Estados Unidos, Europa y los sectores de defensa, tecnología y finanzas dirigidos constantemente a empresas globales. operación.
Sus operaciones representan una amenaza global para las organizaciones gubernamentales y del sector privado, particularmente en apoyo a la invasión rusa de Ucrania desde febrero de 2022.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Los piratas informáticos están explotando las vulnerabilidades en los servidores Zimbra y TeamCity a gran escala, apuntando a víctimas de diversos sectores en todo el mundo.
Específicamente, la vulnerabilidad de inyección de comandos Zimbra CVE-2022-27924 se utilizó para acceder a las credenciales y buzones de correo de los usuarios sin interacción de la víctima.
También explotaron la vulnerabilidad de omisión de autenticación CVE-2023-42793 de JetBrains TeamCity para ejecutar código arbitrario y obtener acceso no autorizado a las redes de desarrolladores de software.
Este aviso enumera más de 20 vulnerabilidades que SVR ha explotado o puede explotar para acceso inicial, ejecución remota de código y escalada de privilegios.
Estas vulnerabilidades incluyen problemas en el software Cisco IOS XE, la biblioteca RHSA GNU C, Haxx Libcur, Supermicro X11SSM-F, Google Android y más.
Para combatir estas amenazas, las agencias autoras alientan a las organizaciones a priorizar la implementación rápida de parches y actualizaciones de software, reducir las superficies de ataque deshabilitando servicios innecesarios accesibles a Internet y realizar una búsqueda continua de amenazas. Le recomendamos que lleve a cabo las actividades.
También destaca la importancia de una configuración adecuada del sistema, la autenticación multifactor y un registro sólido para los servicios de autenticación y las capacidades de conectividad a Internet.
El director de operaciones del NCSC, Paul Chichester, enfatizó que los ciberatacantes rusos son muy capaces de obtener acceso a sistemas sin parches en una variedad de sectores y pueden explotar este acceso para lograr sus objetivos.
La explotación continua de vulnerabilidades por parte de SVR resalta la necesidad de que las organizaciones permanezcan alerta y proactivas en sus esfuerzos de ciberseguridad.
Si siguen las mitigaciones recomendadas y se mantienen informadas sobre las últimas amenazas, las organizaciones pueden protegerse de estos ciberataques avanzados.
medidas de mitigación
Priorice la implementación de parches: implemente parches y actualizaciones de software tan pronto como estén disponibles. Reduzca su superficie de ataque: desactive los servicios innecesarios accesibles a Internet y limite el acceso a redes confiables. Realice una búsqueda continua de amenazas: supervise periódicamente sus sistemas en busca de signos de actividad maliciosa. Implemente la autenticación multifactor: solicite un desafío de identificación adicional para el registro de nuevos dispositivos y notifique a los usuarios sobre el registro exitoso. Habilite un registro sólido: supervise los servicios de autenticación y las funciones de Internet para detectar actividades sospechosas.
Al tomar estas medidas, las organizaciones pueden mejorar significativamente su postura de ciberseguridad y reducir el riesgo de convertirse en víctimas de estos ataques dirigidos.
Estrategias para proteger su sitio web y API de ataques de malware => Webinar gratuito
US, UK Authorities Warn of Hackers Attacking Zimbra & TeamCity Servers