Alerta a medios: Vulnerabilidades en servidores web Windows IIS sin parches están siendo activamente explotadas por Lazarus Group, lo cual coloca en alto riesgo al menos a 22 dependencias del gobierno mexicano



Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

De acuerdo con la unidad de investigación de SILIKN, el grupo ciberatacante respaldado por el gobierno de Corea del Norte, Lazarus Group, ha actualizado su campaña de espionaje que le permite explotar vulnerabilidades conocidas en servidores web Windows IIS sin parches, con la finalidad de implementar su malware de reconocimiento.

En México, entre las dependencias de gobierno que podrían estar en riesgo, ya que utilizan servidores web Windows IIS — y que por lo mismo deben instalar urgentemente los parches de seguridad correspondientes — se encuentran entre otros:

- Secretaría de Medio Ambiente y Recursos Naturales (SEMARNAT)
- Comisión Nacional del Agua (CONAGUA)
- Consejo de la Judicatura de la Ciudad de México (CJCDMX)
- Instituto Nacional de Ecología y Cambio Climático (INECC)
- Instituto Mexicano del Seguro Social (IMSS)
- Instituto Nacional de Pesca y Acuacultura (INAPESCA)
- Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE)
- Comisión Estatal de Servicios Públicos de Mexicali (CESMP)
- Órgano de Fiscalización Superior del Estado de Veracruz (ORFIS)
- Instituto Municipal de Pensiones del Municipio de Chihuahua
- Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS)
- Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN)
- Gobierno del Estado de Tamaulipas
- Subsecretaría de Desarrollo Social del Estado de Coahuila
- Sistema de Información Geográfico Ambiental Territorial y Cambio Climático del Estado de Jalisco (SIGAT)
- Registro Público de la Propiedad y Comercio del Estado de Baja California
- Fiscalía General de Justicia de la Ciudad de México
- Poder Judicial del Estado de Aguascalientes
- Secretaría de Seguridad Pública del Estado de Hidalgo
- Sistema DIF Estatal — Campeche
- Instituto de Seguridad Social del Estado de México y Municipios (ISSEMyM)
- Comisión Nacional de Protección Social en Salud (Seguro Popular)

El proceso w3wp.exe.

Los análisis recientes han mostrado que los sistemas de los servidores de Windows están siendo objeto de ataques y se están presentando comportamientos maliciosos a través de w3wp.exe, un proceso de servidor web de IIS, por lo que se estima que el grupo ciberatacante utiliza servidores web vulnerables, o mal administrados, para sus rutas iniciales de vulneración, para posteriormente ejecutar sus comandos maliciosos.

Cabe señalar que el proceso w3wp.exe es un componente fundamental del servidor web de Microsoft Internet Information Services (IIS). Este proceso se encarga de manejar las solicitudes HTTP recibidas por el servidor web y de procesarlas para generar las respuestas correspondientes.

Cada vez que se realiza una solicitud a un sitio web alojado en un servidor con IIS, el proceso w3wp.exe se inicia para ese sitio web en particular. Esto permite que las solicitudes sean manejadas de manera aislada para cada sitio web, lo que mejora la seguridad, la estabilidad y el rendimiento del servidor.

Cada instancia de w3wp.exe puede consumir recursos del sistema, como memoria y CPU, en función de la carga de trabajo del sitio web y las solicitudes recibidas. Si un sitio web experimenta un aumento repentino en el tráfico o una mala gestión de los recursos, el proceso w3wp.exe puede consumir recursos excesivos, lo que puede afectar el rendimiento general del servidor.

Los vectores de ataque iniciales para las acciones de recopilación de inteligencia incluyen máquinas sin parches con vulnerabilidades conocidas como Log4Shell, vulnerabilidades de certificados públicos y ataques a la cadena de suministro 3CX.

Log4Shell.

Como recordaremos, la vulnerabilidad Log4Shell se refiere a una falla de seguridad crítica descubierta en el popular marco de registro (logging) llamado Apache Log4j. Apache Log4j es una biblioteca de registro ampliamente utilizada en aplicaciones Java para generar y administrar registros de eventos.

La vulnerabilidad, identificada con el identificador CVE-2021–44228, permite a un atacante remoto ejecutar código malicioso de forma remota en un sistema afectado. Esto significa que un atacante podría aprovechar la vulnerabilidad para comprometer el sistema y realizar diversas acciones maliciosas.

La explotación de esta vulnerabilidad es posible debido a un defecto en la función de procesamiento de mensajes de log en Log4j. Específicamente, la vulnerabilidad se encuentra en la capacidad de Log4j para procesar ciertos tipos de mensajes que contienen referencias a propiedades del sistema o invocaciones de clases y métodos arbitrarios.

Un atacante puede aprovechar esta vulnerabilidad al enviar un mensaje de log especialmente diseñado a una aplicación o servicio que utilice Log4j. Cuando Log4j intenta procesar el mensaje, se activa la ejecución de código malicioso proporcionado por el atacante.

Lazarus Group al acecho.

El grupo cibercriminal Lazarus Group es una organización vinculada a actividades cibernéticas maliciosas que ha estado activa desde al menos principios de la década de 2000. Se cree que el grupo opera desde Corea del Norte y se ha asociado con el gobierno norcoreano.

Lazarus Group ha llevado a cabo una serie de ataques cibernéticos sofisticados y ampliamente publicitados en los últimos años. Se les atribuyen ataques como el ataque al sistema financiero de Bangladesh en 2016, en el que robaron cerca de 81 millones de dólares del Banco Central de Bangladesh, y el ataque al estudio de cine Sony Pictures en 2014, que tuvo consecuencias significativas para la empresa y expuso datos confidenciales.

El grupo Lazarus se ha especializado en actividades como el espionaje cibernético, el robo de datos, el ransomware y el sabotaje cibernético. Sus objetivos principales suelen ser instituciones financieras, empresas y gobiernos, aunque también han llevado a cabo ataques contra organizaciones de medios de comunicación y agencias gubernamentales.

En febrero de 2023, la unidad de investigación de SILIKN dio a conocer que Lazarus había llevado a cabo una amplia campaña de recopilación de información y de inteligencia patrocinada y dirigida por Corea del Norte. En principio, estos ataques se dirigieron hacia organizaciones de investigación médica, sector energético, fabricantes de tecnología, sector defensa y sector de ingeniería química, con fines de espionaje, pero las capacidades del grupo criminal los llevaron a identificar y vulnerar objetivos que han utilizado el sistema de correo Zimbra y que no han instalado los parches de seguridad emitidos por el mismo fabricante.

El grupo Lazarus es uno de los grupos altamente peligrosos que lanza ataques activamente en todo el mundo. Por lo tanto, los departamentos de seguridad deben utilizar la administración de la superficie de ataque para identificar los activos que podrían estar expuestos a los actores de amenazas y actuar con precaución al aplicar los parches de seguridad más recientes siempre que sea posible.

Para que las organizaciones estén protegidas contra este tipo de ataques, se recomienda monitorear de manera proactiva las relaciones de ejecución de procesos anormales y tomar medidas preventivas para evitar que el grupo de ciberatacantes lleve a cabo actividades como la exfiltración de información y el movimiento lateral.

Para más información, visite: https://www.silikn.com/