CVE-2021-22941: Vulnerabilidade de Execução Remota de Código no Citrix ShareFile Explorada pelo PROPHET SPIDER

[post-views]
Março 14, 2022 · 4 min de leitura
CVE-2021-22941: Vulnerabilidade de Execução Remota de Código no Citrix ShareFile Explorada pelo PROPHET SPIDER

Um notório Intermediário de Acesso Inicial, PROPHET SPIDER, foi encontrado explorando a vulnerabilidade CVE-2021-22941 para obter acesso não autorizado a um servidor web Microsoft Internet Information Services (IIS). Os cibercriminosos visam violar sistemas de segurança das organizações para bloquear dados confidenciais e, em seguida, vender o acesso a grupos de ransomware.

Explorar a vulnerabilidade de travessia de caminho mencionada acima permite que adversários entreguem um webshell que faria download de mais cargas úteis. PROPHET SPIDER também pode ganhar acesso inicial através de uma renomada vulnerabilidade Log4j

Explore as detecções mais recentes feitas pelos desenvolvedores do SOC Prime Threat Bounty e detecte a atividade do PROPHET SPIDER antes que eles acessem suas redes.

Detecção CVE-2021-22941

Para detectar possíveis ataques do PROPHET SPIDER contra seus sistemas, verifique a lista de regras de detecção abaixo. Nosso conteúdo cobre explorações de vulnerabilidade tanto no Citrix ShareFile quanto no Log4j no VMware.

Para mitigar a atividade maliciosa associada ao PROPHET SPIDER, é importante evitar lacunas de acesso inicial aproveitadas pelo infame ator de ameaça. Incentivamos você a detectar e abordar não apenas a vulnerabilidade RCE (CVE-2021-22941), mas também as vulnerabilidades Log4j no VMware Horizon com tags CVE-2021-44228, CVE-2021-45046 e CVE-2021-44832.

Acesso Inicial Suspeito do PROPHET SPIDER por Exploração da CVE-2021-22941 para Entregar Webshell (via servidor web)

PROPHET SPIDER Explora Vulnerabilidade RCE do Citrix ShareFile (Pós-exploração)

Exploração da vulnerabilidade Log4j (CVE-2021-44228) no VMware Horizon (via Criação de Tarefa Agendada)

Prophet Spider com a exploração da vulnerabilidade Log4j (CVE-2021-44228) no VMware Horizon (via linha de comando)

Exploração da vulnerabilidade Log4j (CVE-2021-44228) no VMware Horizon (via Criação de Tarefa Agendada)

As regras são entregues pelos nossos desenvolvedores do Threat Bounty Emir Erdogan, Aytek Aytemur, e Nattatorn Chuensangarun.

Especialistas em cibersegurança são mais que bem-vindos para se juntar ao programa Threat Bounty, aproveitando o poder da comunidade e sendo recompensados por seu conteúdo de detecção de ameaças.

Ver Detecções Junte-se ao Threat Bounty

Detalhes da Exploração CVE-2021-22941

O webshell implantado por adversários usa vulnerabilidades conhecidas do servidor web para baixar ferramentas de ransomware. As especificações adicionais das cargas úteis de segunda etapa podem variar, pois os atacantes podem escolher quais utilizar dependendo de sua motivação. As cargas úteis mais frequentemente observadas incluem extorsão, ransomware e mineração de criptomoedas.

O ator de ameaça PROPHET SPIDER está operando desde pelo menos maio de 2017. Eles têm ganhado acesso aos sistemas das vítimas explorando vulnerabilidades conhecidas em servidores web. A atividade mais recente parece não ser diferente, com exceção de uma variedade de cargas úteis de segunda etapa.

As vulnerabilidades conhecidas mais recentes frequentemente exploradas pelo PROPHET SPIDER incluem:

  • CVE-2021-22941 afeta o Citrix ShareFile Storage Zones Controller para acessar um servidor web Microsoft IIS
  • CVE-2021-44228, CVE-2021-45046 e CVE-2021-44832 afetam vulnerabilidades conhecidas do Log4j no VMware Horizon

Uma vez que eles acessam um servidor alvo, os atacantes sobrescrevem os arquivos existentes com a ajuda de parâmetros carregados passados em uma solicitação HTTP GET. Em seguida, bloqueiam os dados das organizações para revendê-los a outros atores de ransomware.

As seguintes técnicas e sub-técnicas do MITRE ATT&CK podem ser rastreadas nesta exploração:

  • Acesso Inicial (T1190)
  • Execução (T1059.001)
  • Persistência (T1505.003)
  • Comando e Controle (T1071)
  • Transferência de Ferramentas de Entrada (T1105)

O conteúdo de detecção criado pelos contribuidores de crowdsourcing da SOC Prime inclui detecções baseadas em comportamento mapeadas para esses TTPs.

Melhore suas operações diárias de SOC com o poder da nossa comunidade global de experientes especialistas em detecção de ameaças que contribuem continuamente para a plataforma Detection as Code da SOC Prime. APTs modernos continuam expandindo suas redes, portanto, lidar com ameaças cibernéticas em constante crescimento é quase impossível se a organização estiver isolada em seu próprio ambiente. Junte-se à nossa plataforma para se manter informado e detectar ciberataques o mais rápido possível.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas