La explotación de día cero de las fallas de seguridad en VeraCore se ha atribuido a un actor de amenazas conocido como XE Group , un grupo de ciberdelincuencia probablemente de origen vietnamita que se sabe que está activo desde al menos 2010.
"XE Group pasó del clonado de tarjetas de crédito al robo de información selectivo, lo que marca un cambio significativo en sus prioridades operativas", dijo la firma de ciberseguridad Intezer en un informe publicado en colaboración con Solis Security.
"Sus ataques ahora apuntan a las cadenas de suministro en los sectores de fabricación y distribución, aprovechando nuevas vulnerabilidades y tácticas avanzadas".
Las vulnerabilidades en cuestión se enumeran a continuación:
CVE-2024-57968 (puntuación CVSS: 9,9): una carga sin restricciones de archivos con una vulnerabilidad de tipo peligroso que permite a usuarios autenticados de forma remota cargar archivos en carpetas no deseadas (corregido en la versión 2024.4.2.1 de VeraCode)
CVE-2025-25181 (puntuación CVSS: 5,8): una vulnerabilidad de inyección SQL que permite a atacantes remotos ejecutar comandos SQL arbitrarios (no hay parche disponible)
Los últimos hallazgos de Intezer y Solis Security muestran que las deficiencias se están encadenando para implementar shells web ASPXSpy para el acceso no autorizado a sistemas infectados, en un caso aprovechando CVE-2025-25181 a principios de 2020. La actividad de explotación se descubrió en noviembre de 2024.
Los shells web vienen equipados con capacidades para enumerar el sistema de archivos, extraer archivos y comprimirlos utilizando herramientas como 7z. El acceso también se utiliza de forma abusiva para descargar una carga útil de Meterpreter que intenta conectarse a un servidor controlado por un actor ("222.253.102[.]94:7979") a través de un socket de Windows.
La variante actualizada del shell web también incorpora una variedad de características para facilitar el escaneo de red, la ejecución de comandos y la ejecución de consultas SQL para extraer información crítica o modificar datos existentes.
Si bien los ataques anteriores montados por XE Group han utilizado como arma vulnerabilidades conocidas, a saber, fallas en Telerik UI para ASP.NET ( CVE-2017-9248 y CVE-2019-18935 , puntaje CVSS: 9.8), el desarrollo marca la primera vez que el equipo de piratas informáticos ha sido atribuido a la explotación de día cero, lo que indica un aumento en la sofisticación.
"Su capacidad para mantener un acceso persistente a los sistemas, como se vio con la reactivación de un shell web años después de la implementación inicial, resalta el compromiso del grupo con los objetivos a largo plazo", dijeron los investigadores Nicole Fishbein, Joakim Kennedy y Justin Lentz.
"Al apuntar a las cadenas de suministro en los sectores de fabricación y distribución, XE Group no solo maximiza el impacto de sus operaciones, sino que también demuestra una comprensión aguda de las vulnerabilidades sistémicas".
CVE-2019-18935, que fue señalada por las agencias gubernamentales del Reino Unido y los EE. UU. en 2021 como una de las vulnerabilidades más explotadas, también ha sido objeto de explotación activa el mes pasado para cargar un shell inverso y ejecutar comandos de reconocimiento de seguimiento a través de cmd.exe.
"Si bien la vulnerabilidad en Progress Telerik UI para ASP.NET AJAX tiene varios años, sigue siendo un punto de entrada viable para los actores de amenazas", dijo eSentire . "Esto resalta la importancia de aplicar parches a los sistemas, especialmente si van a estar expuestos a Internet".
CISA agrega 5 fallas al catálogo KEV#
El desarrollo se produce luego de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó cinco fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), basándose en evidencia de explotación activa.
- CVE-2025-0411 (puntuación CVSS: 7,0): vulnerabilidad de omisión de la marca web de 7-Zip
- CVE-2022-23748 (puntuación CVSS: 7,8): vulnerabilidad de control de procesos de Dante Discovery
- CVE-2024-21413 (puntuación CVSS: 9,8): vulnerabilidad de validación de entrada incorrecta en Microsoft Outlook
- CVE-2020-29574 (puntuación CVSS: 9,8): vulnerabilidad de inyección SQL en CyberoamOS (CROS)
- CVE-2020-15069 (puntuación CVSS: 9,8): vulnerabilidad de desbordamiento del búfer del firewall de Sophos XG
Por otra parte, la explotación de CVE-2020-29574 y CVE-2020-15069 se ha vinculado a una campaña de espionaje china rastreada por Sophos bajo el nombre de Pacific Rim.
Actualmente no hay informes sobre cómo se está explotando CVE-2024-21413, también conocida como MonikerLink por Check Point. En cuanto a CVE-2022-23748, la empresa de ciberseguridad reveló a fines de 2022 que observó que el actor de amenazas ToddyCat aprovechaba una vulnerabilidad de carga lateral de DLL en Audinate Dante Discovery ("mDNSResponder.exe").
Las agencias del Poder Ejecutivo Civil Federal ( FCEB ) tienen el mandato de aplicar las actualizaciones necesarias antes del 27 de febrero de 2025, según la Directiva Operacional Vinculante (BOD) 22-01 para protegerse contra amenazas activas.
Fuente: https://thehackernews.com/2025/02/xe-hacker-group-exploits-veracore-zero.html
