CISCO
Sin categoría

Cisco Alerta sobre ataques de ciberespionaje a través de vulnerabilidades Zero-Day en firewalls

Cisco, el gigante tecnológico, ha emitido una advertencia este miércoles sobre equipos de hacking profesionales respaldados por naciones que están explotando al menos dos vulnerabilidades zero-day en sus plataformas de firewall ASA para plantar malware en las redes de los sectores de telecomunicaciones y energía. Según un comunicado de Cisco Talos, los atacantes están apuntando a defectos de software en ciertos dispositivos que ejecutan el Cisco Adaptive Security Appliance (ASA) o los productos Cisco Firepower Threat Defense (FTD) para implantar malware, ejecutar comandos y potencialmente exfiltrar datos de los dispositivos comprometidos.

La campaña, etiquetada como ArcaneDoor, utiliza exploits para dos errores de software documentados (CVE-2024-20353 y CVE-2024-20359) en los productos de Cisco, pero los cazadores de malware de la compañía aún no están seguros de cómo los atacantes lograron entrar. “No hemos determinado el vector de acceso inicial utilizado en esta campaña. No hemos identificado evidencia de explotación previa a la autenticación hasta la fecha”, dijo Cisco Talos.

Intrusión en perímetros de red y espionaje estatal

ArcaneDoor es un ejemplo más de actores patrocinados por el estado que apuntan a dispositivos de red perimetral de múltiples proveedores. “Coveted by these actors, perimeter network devices are the perfect intrusion point for espionage-focused campaigns,” explicó Cisco, señalando que obtener un punto de apoyo en estos dispositivos permite a un actor pivotar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de red.

Cisco informó que un cliente no identificado notificó a su equipo PSIRT a principios de 2024 sobre “preocupaciones de seguridad” en productos de firewall ASA, iniciando una investigación que llevó al descubrimiento del actor de amenazas (rastreado como UAT4356 por Talos y STORM-1849 por el Microsoft Threat Intelligence Center).

Despliegue de backdoors y acciones maliciosas

Se observó que el equipo de hacking desplegaba dos puertas traseras que se utilizan colectivamente para realizar acciones maliciosas en el objetivo, que incluían modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y potencial movimiento lateral.

“Trabajando con víctimas y socios de inteligencia, Cisco descubrió una cadena de ataque sofisticada que se utilizó para implantar malware personalizado y ejecutar comandos en un pequeño conjunto de clientes”, advirtió la compañía.

Recomendaciones de Cisco

Los investigadores de Cisco indican que la telemetría de red y la información de los socios de inteligencia señalan que los hackers tienen interés en examinar dispositivos de red de Microsoft y otros proveedores. “Independientemente de su proveedor de equipos de red, ahora es el momento de asegurarse de que los dispositivos estén correctamente parcheados, registrando en una ubicación central y segura, y configurados para tener una autenticación fuerte y multifactorial (MFA)”, dijo Cisco.

Tags:

No responses yet

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *