El grupo APT chino ‘Salt Typhoon’ explota vulnerabilidades de ProxyLogon en Microsoft Exchange
Recientemente, investigadores en ciberseguridad han identificado a un grupo avanzado de amenazas persistentes (APT) de origen chino, conocido como ‘Salt Typhoon’, que ha estado explotando activamente las vulnerabilidades de ProxyLogon en Microsoft Exchange. Este grupo ha demostrado una capacidad técnica significativa para infiltrarse en sistemas corporativos y gubernamentales, aprovechando fallos críticos en el software de correo electrónico empresarial.
¿Qué es ProxyLogon?
ProxyLogon es el nombre asignado a una serie de vulnerabilidades críticas descubiertas en Microsoft Exchange Server en marzo de 2021. Estas vulnerabilidades permiten a los atacantes ejecutar código de forma remota sin autenticación, lo que les otorga acceso completo a los servidores afectados. Las fallas se encuentran en el componente de servicios web de Exchange, específicamente en la autenticación y autorización de solicitudes HTTP.
Las vulnerabilidades de ProxyLogon incluyen:
- CVE-2021-26855: Una vulnerabilidad de ejecución remota de código (RCE) en el servidor Exchange.
- CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065: Fallos que permiten la escalada de privilegios y la manipulación de archivos en el sistema.
Actividades del grupo ‘Salt Typhoon’
El grupo APT ‘Salt Typhoon’ ha sido vinculado a operaciones de ciberespionaje dirigidas principalmente a organizaciones gubernamentales, empresas de tecnología y sectores estratégicos en Asia y Europa. Según los investigadores, este grupo utiliza técnicas sofisticadas para explotar las vulnerabilidades de ProxyLogon, incluyendo:
- Despliegue de webshells maliciosos en servidores Exchange comprometidos.
- Uso de herramientas de post-explotación para moverse lateralmente dentro de las redes afectadas.
- Recolección y exfiltración de datos sensibles, como correos electrónicos y documentos confidenciales.
Además, ‘Salt Typhoon’ ha demostrado una capacidad notable para evadir detecciones mediante el uso de técnicas de ofuscación y la eliminación de rastros de sus actividades después de completar sus operaciones.
Implicaciones de seguridad
La explotación de vulnerabilidades como ProxyLogon representa un riesgo significativo para las organizaciones que dependen de Microsoft Exchange para sus operaciones de correo electrónico. Los ataques pueden resultar en:
- Pérdida de datos confidenciales.
- Interrupción de servicios críticos.
- Daños reputacionales y financieros.
Para mitigar estos riesgos, es esencial que las organizaciones apliquen parches de seguridad tan pronto como estén disponibles y monitoreen sus redes en busca de actividades sospechosas. Además, se recomienda implementar medidas adicionales, como la segmentación de redes y el uso de soluciones de detección y respuesta extendidas (XDR).
Conclusión
El grupo APT ‘Salt Typhoon’ representa una amenaza persistente y sofisticada para las organizaciones a nivel global. Su capacidad para explotar vulnerabilidades críticas como ProxyLogon subraya la importancia de mantener los sistemas actualizados y adoptar un enfoque proactivo en materia de ciberseguridad. Las empresas deben estar alerta y preparadas para responder a este tipo de amenazas avanzadas.
Para más detalles sobre este tema, consulta la fuente original.
