Cisco ha advertido a los usuarios empresariales de su hardware de enrutamiento y conmutación que estén atentos a la explotación de una vulnerabilidad de seis años por parte de actores de amenazas de estados-nación vinculados a estados como Rusia y China, después de que las agencias cibernéticas del Reino Unido y EE. UU. apelar.
A principios de esta semana, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y su contraparte estadounidense destacaron una campaña de actividad maliciosa que explota CVE-2017-6742, una vulnerabilidad de ejecución remota de código (RCE) del Protocolo simple de administración de red (SNMP) en Cisco IOS e IOS. Software XE, que afecta a múltiples dispositivos.
Esta actividad, atribuida a APT28, un actor de amenazas persistentes avanzadas (APT) respaldado por la inteligencia rusa, ha visto organizaciones en Europa y EE. UU., y más de 250 víctimas ucranianas, atacadas con malware Jaguar Tooth, un malware no persistente dirigido a enrutadores Cisco, que recopila y roba información del dispositivo y permite el acceso de puerta trasera no autenticado.
“Esta actividad maliciosa de APT28 presenta una seria amenaza para las organizaciones, y el Reino Unido y nuestros socios de EE. UU. están comprometidos a crear conciencia sobre las tácticas y técnicas que se están implementando”, dijo Paul Chichester, director de operaciones de NCSC.
“Recomendamos encarecidamente a los defensores de la red que se aseguren de que se apliquen las últimas actualizaciones de seguridad a sus enrutadores y que sigan los otros pasos de mitigación descritos en el aviso para evitar compromisos”.
El capo de las redes dijo que estaba “profundamente preocupado” por el aumento de estos ataques, que su equipo de inteligencia de amenazas Talos ha estado siguiendo de cerca.
Matt Olney, director de inteligencia e interdicción de amenazas de Talos en Cisco, dijo que si bien la infraestructura de red de todo tipo es bombardeada con ataques cibernéticos todo el tiempo, debido al dominio del mercado de Cisco, su hardware era particularmente probable que fuera atacado, y que en este caso, APT-28 ha sido particularmente exitoso en comprometer la infraestructura con software desactualizado, al igual que otros actores de amenazas respaldados por el estado.
Matt Olney, Talos, Cisco
“Es razonable concluir que cualquier operación de inteligencia nacional suficientemente capaz desarrollaría y usaría la capacidad para comprometer la infraestructura de comunicaciones de sus objetivos preferidos”, escribió Olney.
“Hemos observado manipulación de tráfico, copia de tráfico, configuraciones ocultas, malware de enrutadores, reconocimiento de infraestructura y debilitamiento activo de las defensas por parte de adversarios que operan en equipos de red. Dada la variedad de actividades en las que hemos visto participar a los adversarios, han demostrado un nivel muy alto de comodidad y experiencia trabajando dentro de los límites de los equipos de red comprometidos.
“Nuestra evaluación es clara: las agencias de inteligencia nacionales y los actores patrocinados por el estado en todo el mundo han atacado la infraestructura de la red como un objetivo de preferencia principal. Los dispositivos de enrutamiento/conmutador son estables, se examinan con poca frecuencia desde una perspectiva de seguridad, a menudo tienen parches deficientes y brindan una visibilidad profunda de la red. Son el objetivo perfecto para un adversario que busca ser silencioso y tener acceso a una importante capacidad de inteligencia, así como un punto de apoyo en una red preferida”, dijo.
Olney continuó compartiendo detalles de múltiples comportamientos de actores altamente sofisticados que Cisco Talos ha observado en diferentes plataformas, muchas de ellas en instalaciones de infraestructura crítica.
“Nos preocupa que la concienciación y los parches insuficientes, la dependencia de equipos al final de su vida útil y la necesidad de una conectividad permanente hagan que demasiados dispositivos de infraestructura sean presa fácil. Los resultados de estos problemas van desde ser un participante involuntario en una actividad delictiva hasta eventos de verdadero impacto en la seguridad nacional”, escribió.
Olney reconoció que había muchas realidades operativas que dificultaban el mantenimiento de una red verdaderamente segura; sin embargo, dados los riesgos del hardware de red comprometido, dijo que era importante eliminar estos obstáculos.
“Independientemente del contexto, el envejecimiento de la infraestructura es un riesgo. Confiar en equipos obsoletos o utilizar protocolos y tecnologías obsoletos eventualmente le costará a su organización”, dijo.