Критическая уязвимость удаленного выполнения кода в расширениях протокола Windows Internet Key Exchange (IKE) эксплуатируется в активной кампании. Кампания «流血你» в переводе «Bleed You», предположительно, проводится неизвестными злоумышленниками, говорящими на мандаринском языке.
О кампании.
Исследователи компании CYFIRMA обнаружили 1 000+ систем, подверженных данной уязвимости (CVE-2022-34721).
- С сентября кампания «Bleed You» нацелена на уязвимые ОС Windows, серверы Windows, протоколы и сервисы Windows.
- Конечная цель кампании - облегчить дальнейшие атаки вредоносных программ и шифровальщиков, а также латеральное перемещение по сети.
- Кампания нацелена на организации розничной торговли, промышленные конгломераты, правительственные учреждения, финансовые службы, ИТ-сервисы и электронную коммерцию в США, Великобритании, Австралии, Канаде, Франции, Германии, Турции, Японии, Индии, ОАЭ и Израиле.
Об уязвимости.
Уязвимость кроется в неизвестном коде, используемом для обработки протокола IKEv1.
- затрагивает ОС Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10 и Windows 11.
- Эксплуатация может привести к повреждению памяти и удаленному выполнению кода.
Дополнительные сведения.
Цель злоумышленников - утечка конфиденциальной информации для получения финансовой выгоды, получение повышенного доступа и нарушение работы систем.
- Была обнаружена связь между кампанией Bleed You и русскоязычными киберпреступниками.
- Исследователи заметили, что неизвестные хакеры делятся ссылкой на эксплойт и на подпольных форумах.
Советы по безопасности.
Злоумышленники активно эксплуатируют уязвимые машины Windows Server через модули ключей IKE и AuthIP IPsec. Пользователям рекомендуется как можно скорее применить патчи и исправления, чтобы снизить вероятность эксплуатации уязвимости.
Источник: https://is-systems.org