CVE-2021-22941: Vulnerabilidad de Ejecución Remota de Código en Citrix ShareFile Explotada por PROPHET SPIDER
Tabla de contenidos:
Se descubrió que un conocido corredor de acceso inicial, PROPHET SPIDER, estaba explotando la vulnerabilidad CVE-2021-22941 para obtener acceso no autorizado a un servidor web de Microsoft Internet Information Services (IIS). Los cibercriminales apuntan a violar los sistemas de seguridad de las organizaciones para bloquear datos sensibles y luego vender acceso a grupos de ransomware.
Explotar la mencionada vulnerabilidad de recorrido de directorios permite a los adversarios entregar un webshell que descargaría cargas adicionales. PROPHET SPIDER también puede obtener acceso inicial a través de una conocida vulnerabilidad de Log4j.
Explore las detecciones más recientes realizadas por los desarrolladores de SOC Prime Threat Bounty y detecte la actividad de PROPHET SPIDER antes de que obtengan acceso a sus redes.
Detección de CVE-2021-22941
Para detectar posibles ataques de PROPHET SPIDER contra sus sistemas, consulte la lista de reglas de detección a continuación. Nuestro contenido cubre tanto los exploits de vulnerabilidades de Citrix ShareFile como de Log4j en VMware.
Para mitigar la actividad maliciosa asociada con PROPHET SPIDER, es importante evitar brechas de acceso inicial aprovechadas por el infame actor de amenazas. Alentamos a detectar y abordar no solo una vulnerabilidad de RCE (CVE-2021-22941) sino también las vulnerabilidades de Log4j en VMware Horizon etiquetadas como CVE-2021-44228, CVE-2021-45046 y CVE-2021-44832.
PROPHET SPIDER explota la vulnerabilidad de RCE de Citrix ShareFile (pos-explotación)
Las reglas son proporcionadas por nuestros desarrolladores de Threat Bounty Emir Erdogan, Aytek Aytemury Nattatorn Chuensangarun.
Los expertos en ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para aprovechar el poder de la comunidad y ser recompensados por su contenido de detección de amenazas.
Ver Detecciones Unirse a Threat Bounty
Detalles de la Explotación de CVE-2021-22941
El webshell desplegado por los adversarios utiliza vulnerabilidades conocidas de servidores web para descargar herramientas de ransomware. Las especificaciones adicionales de las cargas de segunda etapa pueden diferir porque los atacantes pueden elegir cuáles de ellas usar dependiendo de su motivación. Las cargas observadas con más frecuencia incluyen extorsión, ransomware y minería de criptomonedas.
El actor de amenazas PROPHET SPIDER ha estado operando desde al menos mayo de 2017. Han estado obteniendo acceso a los sistemas de las víctimas explotando vulnerabilidades conocidas en servidores web. La actividad más reciente no parece diferente de eso, con la excepción de una variedad de cargas de segunda etapa.
Las últimas vulnerabilidades conocidas frecuentemente explotadas por PROPHET SPIDER incluyen:
- CVE-2021-22941 — afecta a Citrix ShareFile Storage Zones Controller para obtener acceso a un servidor web de Microsoft IIS
- CVE-2021-44228, CVE-2021-45046 y CVE-2021-44832 — afectan las vulnerabilidades conocidas de Log4j en VMware Horizon
Una vez obtenido acceso a un servidor objetivo, los atacantes sobrescriben los archivos existentes con la ayuda de parámetros subidos que se pasan en una solicitud HTTP GET. Luego, bloquean los datos de las organizaciones para revenderlos a otros actores de ransomware.
En esta explotación se pueden rastrear las siguientes técnicas y sub-técnicas de MITRE ATT&CK:
- Acceso Inicial (T1190)
- Ejecución (T1059.001)
- Persistencia (T1505.003)
- Comando y Control (T1071)
- Transferencia de Herramientas de Ingreso (T1105)
El contenido de detección creado por los colaboradores de crowdsourcing de SOC Prime incluye detecciones basadas en comportamientos mapeadas a estas TTPs.
Mejore sus operaciones diarias de SOC con el poder de nuestra comunidad global de expertos en detección de amenazas que contribuyen continuamente a la plataforma Sociedad de Detección como Código de SOC Prime. Las APT modernas continúan expandiendo sus redes, por lo tanto, lidiar con amenazas cibernéticas en constante crecimiento es prácticamente imposible si la organización está aislada en su propio entorno. Únase a nuestra plataforma para mantenerse al tanto y detectar ciberataques tan pronto como sea posible.
