El antivirus de Trend Micro con vulnerabilidad Zero-day se uso para atacar servidores de Mitsubishi Electric

Hackers informáticos chinos han usado un exploit Zero-Day del antivirus Trend Micro OfficeScan durante sus ataques contra Mitsubishi Electric.

Trend Micro ha solucionado la vulnerabilidad, pero la compañía no comentó si dicha vulnerabilidad se uso en otros ataques más allá de Mitsubishi Electric.

Las noticias sobre el hackeo de Mitsubishi Electric se hicieron públicas el lunes de esta semana. En un comunicado de prensa publicado en su sitio web, el vendedor de electrónica japonés y el contratista de defensa dijeron que fueron atacados el año pasado.

La compañía dijo que detectó una intrusión en su red el 28 de junio de 2019. Después de una investigación de meses, Mitsubishi dijo que descubrió que los piratas informáticos obtuvieron acceso a su red interna desde donde robaron aproximadamente 200 MB de archivos.

Si bien inicialmente la compañía no reveló el contenido de estos documentos, en un comunicado de prensa actualizado, la compañía dijo que los archivos contenían principalmente información sobre los empleados, y no datos relacionados con sus negocios y socios.

Según Mitsubishi, los documentos robados contenían:

Datos sobre solicitudes de empleo para 1.987 personas
Los resultados de una encuesta de empleados de 2012 que fue completada por 4.566 personas de su oficina central
Información sobre 1,569 trabajadores de Mitsubishi Electric que se jubilaron entre 2007 y 2019
Archivos con materiales técnicos confidenciales corporativos, materiales de ventas y otros.

El Ataque

Esta semana, los medios japoneses profundizaron en el hack. Según los informes, el pirateo se originó primero en una filial china de Mitsubishi Electric, y luego se extendió a 14 departamentos / redes de la compañía.

La intrusión supuestamente se detectó después de que el personal de Mitsubishi Electric encontró un archivo sospechoso en uno de los servidores de la compañía.

Nada de esto fue confirmado por la compañía japonesa, pero descubierto por reporteros japoneses. El único detalle técnico en relación con el hackeo que Mitsubishi Electric reveló fue el hecho de que los hackers explotaron una vulnerabilidad en uno de los productos antivirus que la compañía estaba utilizando.

Se supo que explotaron la vulnerabilidad CVE-2019-18187, una vulnerabilidad de carga de archivos arbitraria y transversal del directorio en el antivirus Trend Micro OfficeScan.

Según un aviso de seguridad que Trend Micro envió en octubre de 2019, «un atacante podría explotar las versiones afectadas de OfficeScan utilizando una vulnerabilidad transversal del directorio para extraer archivos de un archivo zip arbitrario a una carpeta específica en el servidor de OfficeScan, lo que podría conducir a a la ejecución remota de código (RCE) «.

En un estudio de caso en su sitio web, Trend Micro enumera a Mitsubishi Electric como una de las compañías que ejecutan la suite OfficeScan.

Cuando parchó el CVE-2019-18187 en octubre, Trend Micro advirtió a los clientes que los piratas informáticos estaban explotando activamente la vulnerabilidad.

Los medios japoneses afirmaron que la intrusión fue el trabajo de un grupo chino de espionaje cibernético patrocinado por el estado conocido como Tick.

El grupo de piratería Tick es conocido por llevar a cabo una gran cantidad de campañas de piratería dirigidas a objetivos en todo el mundo en los últimos años. Actualmente, no está claro si el grupo también la vulnerabilidad de OfficeScan contra otros objetivos.