CISA, la Agencia de Seguridad, Infraestructura y Ciberseguridad de EE.UU., organismo garante de la ciberprotección en el país, ha informado de que una de sus agencias se ha visto comprometida por ciberdelincuentes.
Parece que actores de estado nación y una banda de cibermalos conocida por operar robando tarjetas tuvieron acceso a este organismo desde agosto hasta enero de 2023. Así lo recoge una alerta enviada por CISA junto al FBI.
Según el comunicado, tanto el grupo de estado nación como el colectivo criminal llamado XE Group explotaron vulnerabilidades conocidas en el software Telerik, ubicado en el servidor web Microsoft Internet Information Services (IIS) de la agencia gubernamental no identificada.
La división de análisis de amenazas de Google, había notificado a CISA que la agencia -cuyo nombre no se ha hecho público- fue atacada por Hafnium. Este grupo vinculado a China estuvo involucrado en un acceso masivo a Microsoft Exchange Server.
XE Group buscaba infiltrarse en la agencia desde agosto de 2021 usando archivos DLL malicosos disfrazados de PNG, según el aviso de seguridad.
Una vulnerabilidad que no se parcheó
La vulnerabilidad que ha desencadenado el incidente es una vieja conocida. Fue una de las vulnerabilidades "explotadas de forma rutinaria" en 2021. De hecho, CISA había ordenado a las agencias federales que la parchearan, pero parece que la que nos ocupa hizo caso omiso.
Esta inacción habría permitido al grupo de estado nación chino explotando el error, que permite la ejecución remota de código, desde agosto 2022, según informa Cyberscoop.