Hackers estatales rusos explotan una vulnerabilidad de un enrutador Cisco de hace 7 años

El FBI y Cisco advierten que piratas informáticos rusos están explotando una vulnerabilidad de Cisco Smart Install de hace 7 años en enrutadores y conmutadores obsoletos en todo el mundo.

Miles de dispositivos Cisco obsoletos que ya no reciben actualizaciones de seguridad están siendo explotados en una campaña de espionaje cibernético, según advertencias conjuntas del FBI y Cisco Talos.

Un grupo patrocinado por el estado ruso conocido como Static Tundra, también conocido como Dragonfly, Energetic Bear y Berserk Bear, está aprovechando una vulnerabilidad de siete años de antigüedad que muchas organizaciones nunca solucionaron.

La falla, CVE-2018-0171 , afecta la función Smart Install de Cisco y permite a los atacantes ejecutar código o bloquear un dispositivo. Cisco la solucionó en 2018, pero muchos sistemas siguen desprotegidos porque nunca se actualizaron o porque han llegado al final de su vida útil (EOL) y ya no reciben parches. Estos dispositivos, ampliamente utilizados en telecomunicaciones, manufactura y educación superior, se han convertido en una puerta de entrada fácil para una de las unidades de inteligencia más persistentes de Rusia.

En abril de 2018, Hackread.com informó que atacantes explotaron CVE-2018-0171 para atacar switches Cisco en centros de datos de Irán y Rusia. Al abusar de la función Smart Install, secuestraron los dispositivos y reemplazaron la imagen de iOS por una con la bandera de EE. UU.

Static Tundra está vinculado al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia y lleva más de una década activo. Los investigadores afirman que el grupo ha desarrollado herramientas de automatización para escanear internet, a menudo utilizando servicios como Shodan y Censys , con el fin de identificar objetivos que aún ejecutan Smart Install.

Una vez vulnerados, extraen configuraciones del dispositivo que a menudo contienen credenciales de administrador y detalles sobre una infraestructura de red más amplia, lo que proporciona una plataforma de lanzamiento para ataques más profundos.

El FBI afirma haber visto datos de configuración extraídos de miles de dispositivos estadounidenses en sectores de infraestructura crítica. En algunos casos, los atacantes modificaron la configuración de los dispositivos para mantener el acceso a las redes, mostrando especial interés en los sistemas que ayudan a operar equipos y operaciones industriales.

Static Tundra tiene un historial de implementación de SYNful Knock , un implante malicioso para routers Cisco, documentado por primera vez en 2015. Este implante sobrevive a los reinicios y permite el acceso remoto mediante paquetes especialmente diseñados. Además, el grupo abusa de cadenas de comunidad SNMP inseguras, a veces incluso las predeterminadas como "public", para extraer más datos o enviar nuevos comandos a los dispositivos.

Los investigadores de Cisco Talos describen la operación como "altamente sofisticada", con evidencia de que los dispositivos comprometidos permanecen bajo el control de los atacantes durante años. Advierten que Rusia no es el único país que realiza este tipo de operaciones, lo que significa que cualquier organización con equipos de red obsoletos o sin parches podría estar en riesgo ante múltiples actores estatales.

"Esta alerta del FBI subraya la importancia de mantener un inventario actualizado (saber qué está disponible para los atacantes) y cuán importante sigue siendo la vigilancia continua de la actualización de parches y la administración de la configuración hasta que el dispositivo se desconecte", dijo Trey Ford , director de estrategia y confianza de Bugcrowd, un líder con sede en San Francisco, California, en ciberseguridad colaborativa.

“El CVE afectado (CVE-2018-0171) es un exploit RCE (ejecución remota de código) de alto puntaje. Si bien algunos entornos (como manufactura, telecomunicaciones y otras infraestructuras críticas) pueden enfrentar retrasos en la producción para los ciclos de parches planificados, ver un retraso de siete años para que este tipo de vulnerabilidad sea explotada ampliamente es un poco sorprendente”, agregó.

Tanto el FBI como Cisco han emitido recomendaciones enérgicas. Las organizaciones deben aplicar parches de inmediato a los dispositivos que aún ejecutan Smart Install o desactivar la función si ya no es posible aplicar parches.

Para hardware antiguo sin soporte, Cisco recomienda planificar su reemplazo, ya que estos dispositivos nunca recibirán reparaciones. Los administradores de ciberseguridad deben supervisar cambios de configuración sospechosos, tráfico SNMP inusual y actividad TFTP inexplicable, que son señales comunes de esta campaña.

El FBI también está animando a cualquier persona que sospeche que sus sistemas pueden haber sido atacados a que informe sus hallazgos a través del Centro de Denuncias de Delitos en Internet.