CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Chile proveedores

A partir del noviembre de  2016, Cronup es proveedor de ChileCompra.

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social

ALERTA: Aumento progresivo de actividad en RDP por CVE-2019-0708 (Chile)

Actualizado: 1 de jun de 2019

Primero que todo y para dimensionar el impacto, mira esta POC del exploit en ejecución desarrollado por el equipo de @McAfee.


Desde que se informo sobre la vulnerabilidad CVE-2019-0708 que afecta al protocolo RDP de Windows y permite ejecutar código de forma remota, hemos estado monitoreando la red para identificar nuevos comportamientos en el ciberespacio, a partir del primer día se noto un aumento en detecciones de puerto 3389 abierto (algo esperado), sin embargo, desde el Sábado 25 de Mayo nuestras Honeypots en Chile han detectado un aumento progresivo e intenso de conexiones sin credenciales de autenticación y con envío de data a través del puerto en cuestión.


Los países de origen de los ataques son conocidos: Rusia, China, Malasia, Estados Unidos y Alemania entre otros. El ataque principal del día 25 se inicia pasadas las 21:00 hrs de Chile y tiene una duración aproximada de 5 minutos (IP de Malasia).


Panel Honeypot en Chile

El día 26 de Mayo las conexiones aumentan y se mantiene actividad durante todo el día, el conteo de conexiones llega a 2.613. Rusia se dispara.



Actualización 01-06-2019


Luego de un upgrade de sensores y ajustes en la plataforma, se comienzan a reportar intentos de explotación y escaneos para esta vulnerabilidad desde el día 27.

Conexiones RDP

IOC's:


Este primer listado corresponde específicamente a escaneos e intentos de explotación originados desde Internet hacia servidores Chilenos:


5.189.132.145

31.220.40.54

128.14.134.134

169.197.108.42

184.105.139.70

200.9.99.55

209.126.230.71


IP Lookup

Este segundo listado corresponde a conexiones anómalas y sospechosas al servicio RDP publicado en múltiples servidores Chilenos:


78.155.223.210 | 1087

31.184.227.186 | 883

78.155.223.211 | 714

61.6.51.242 | 398

46.182.29.37 | 26

188.246.224.44 | 13

188.246.224.47 | 10

210.72.16.35 | 10

58.218.204.196 | 8

107.6.183.226 | 7


Para conocer más sobre esta vulnerabilidad, su mitigación y obtener los parches de seguridad liberados por Microsoft, visita el siguiente enlace: https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708



Recomendamos el bloqueo o al menos mantener en monitoreo las IP's mencionadas en esta publicación.


Actualizaremos esta alerta a medida que tengamos nueva información,

Cualquier consulta no dudes en escribirnos.