Barracuda Networks avisa de un flujo constante de ciberataques Zero-Day

El pasado 2 de junio, la empresa Volexity y sus “cazadores de virus” hicieron pública una vulnerabilidad de tipo Zero-Day en Confluence, el software colaborativo para el trabajo en remoto, compartir y crear documentos e intercambiar información, comercializado por Atlassian.

Esta vulnerabilidad ha sido nombrada como CVE-2022-26134 y ha afectado a varios productos de Atlassian como son Confluence Server y Confluence Data Center. Tras hacerse pública esta vulnerabilidad, los investigadores de Barracuda Networks han analizado todos los datos disponibles y han descubierto un gran número de intentos para explotar esta vulnerabilidad por parte de ciberhackers. Estos intentos de explotar el CVE-2022-26134 pasan desde lo que se conoce como ‘reconocimiento benigno’ hasta algunos intentos más complejos para infectar diferentes sistemas a través de malware de botnet, DDoS y/o criptomineros.

Los análisis de Barracuda han determinado que esta vulnerabilidad lleva siendo explotada a través de un flujo constante de ataques a lo largo del tiempo, con un pico de actividad importante y destacado el 13 de junio. Los investigadores prevén que por el momento este flujo de ataques continuará en el corto plazo.

Atlassian Confluence es un software que permite crear, intercambiar y proporcionar documentos en un entorno colaborativo. El 2 de junio se hizo pública la información por parte Volexity y ya el fin de semana siguiente la vulnerabilidad estaba siendo explotada por hackers y diferentes agentes que se habían dado cuenta de la brecha de seguridad y de la “oportunidad” que eso generaba. La vulnerabilidad CVE-2022-26134 permite a los ciberatacantes crear nuevas cuentas administrativas dentro de la herramienta, ejecutar diferentes permisos administrativos y hacerse con el control de los servidores.

Los principales ataques e intentos de explotación de esta vulnerabilidad se originaron principalmente en Rusia, Estados Unidos, India, Países Bajos y Alemania, según ofrecieron los datos de las direcciones IP investigadas. Como se ha podido ver en investigaciones anteriores, los ataques provenientes de direcciones IP norteamericanas provienen principalmente de servicios y proveedores de la nube. De igual manera, los ataques provenientes de Alemania proceden de servidores de alojamiento y almacenamiento.

.

Cómo protegerse contra este tipo de ataques

Como se ha señalado anteriormente, el nivel de interés en esta vulnerabilidad se mantiene constante con picos ocasionales, y los investigadores de Barracuda Networks esperan ver exploraciones e intentos de explotación durante algún tiempo. Dado que el interés de los ciberdelincuentes es tan alto, es importante tomar medidas para proteger los sistemas:

– A través de parches: El momento ideal para aplicar los parches es ahora, especialmente si el sistema está orientado a Internet de alguna manera.

– Cortafuegos de aplicaciones web (WAF): la colocación de un cortafuegos de aplicaciones web o Web Application Firewall frente a estos sistemas contribuirá a la defensa en profundidad contra los ataques Zero-Day y otras vulnerabilidades.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba