Recientemente, en 2021, el notorio APT28 ruso estaba explotando enrutadores de red que ejecutaban versiones obsoletas del software del sistema operativo IOS e IOS XE de Cisco, usándolos para implementar puertas traseras en redes en instituciones gubernamentales europeas y estadounidenses.

APT28, también conocido como Fancy Bear, Strontium, Tsar Team y Sofacy Group, es mejor conocido por su campañas contra ucrania y las elecciones estadounidenses de 2016. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha atribuido este grupo al Centro de Servicios Especiales 85, Unidad de Inteligencia Militar 26165, parte de la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia.

NCSC, Agencia de Seguridad Nacional, Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y FBI esta semana publicó un aviso conjunto esbozando una de las maniobras menos impresionantes técnicamente pero más económicas de APT28. Según sus hallazgos, el grupo usó enrutadores Cisco sin parchear para acceder a "un pequeño número" de instituciones gubernamentales de la UE y EE. UU., además de "aproximadamente 250 víctimas ucranianas".

Aunque la campaña tuvo lugar hace dos años, Cisco Talos en una publicación de blog expresó cuán "profundamente preocupado" está "por un aumento en la tasa de ataques de alta sofisticación en la infraestructura de la red" por parte de actores del estado-nación.

“Ciertamente, hemos visto un aumento en los últimos años, incluso en los últimos seis a 12 meses, al apuntar a este tipo de infraestructura”, dice JJ Cummings, director de seguridad nacional de Cisco Talos. “Creo que esto es probablemente solo la punta del iceberg”.

Aprovechando los enrutadores vulnerables

El June 29, 2017, Cisco reveló una serie de vulnerabilidades en el Protocolo simple de administración de red (SNMP), un protocolo de comunicaciones para dispositivos de red que ejecutan las versiones IOS 12.0 a 12.4 y 15.0 a 15.6, y IOS XE 2.2 a 3.17.

Un paquete SNMP especialmente diseñado, explicó la compañía, podría haber permitido a los atacantes ejecutar código de forma remota en los dispositivos afectados o hacer que se reiniciaran. Las vulnerabilidades se agruparon en CVE-2017-6742 y se le asignó un puntaje CVSS "Alto" de 8.8.

Aunque se lanzó un parche para las vulnerabilidades de SNMP hace tantos años, para 2021 APT28 todavía explotaba los enrutadores de Cisco para acceder a las redes gubernamentales de EE. UU., la UE y principalmente Ucrania.

De la misma manera que los administradores usan SNMP para monitorear y configurar dispositivos de red de forma remota, APT28 lo usó para acceder a dispositivos de forma remota y penetrar redes.

"Varias herramientas de software pueden escanear toda la red usando SNMP", explicó el aviso, "lo que significa que una configuración deficiente, como el uso de cadenas de comunidad predeterminadas o fáciles de adivinar, puede hacer que una red sea susceptible a ataques".

En particular, APT28 aprovechó las contraseñas débiles, "cadenas comunitarias", en el lenguaje de Cisco, como la cadena pública predeterminada para descifrar los enrutadores y, en algunos casos, implementar su Programa malicioso “diente de jaguar”. Jaguar Tooth fue diseñado específicamente para explotar CVE-2017-6742, robar información del dispositivo y plantar una puerta trasera para acceso persistente.

Miles de enrutadores están expuestos en línea

Un número notable de enrutadores de Internet empresarial en funcionamiento hoy en día se exponen públicamente en la Internet abierta. Y no solo están expuestos, son vulnerables. Para la escala, considere esto:

Después de que se descubrieran una serie de vulnerabilidades en múltiples enrutadores Cisco para pequeñas empresas a principios de este año, la compañía de software Censys buscó en línea cualquier dispositivo potencialmente vulnerable. La búsqueda arrojó más de 20,000 resultados, la gran mayoría de los cuales son Todavía igualmente expuesto hasta el día de hoy..

Y así como una empresa de software puede identificar estos dispositivos, los piratas informáticos también pueden hacerlo”. Por lo general, los ciberdelincuentes utilizarán herramientas como Shodan o Nmap para escanear y buscar dispositivos expuestos conectados a Internet”, explica James McQuiggan, defensor de la conciencia de seguridad en KnowBe4. “Las organizaciones pueden probar el modelo de 'seguridad por oscuridad', con la esperanza de que no se descubran ejecutando sistemas heredados más antiguos”, dice, pero los piratas informáticos que pueden encontrar y explotar tan fácilmente estos dispositivos “han abierto la puerta principal electrónica”.

Cisco publica regularmente información sobre nuevas vulnerabilidades y riesgos para la infraestructura de TI, como esta entrada de blog publicada el 18 de abril

Por qué los enrutadores no se parchean

En los entornos de TI, observa Cummings, hay una razón principal por la que los dispositivos de enrutamiento permanecen sin parches durante años. “Piense en cuál es la misión principal de un equipo de operaciones de red: mantener la red en funcionamiento, ¿verdad?” Un subproducto de esta priorización de la confiabilidad y la disponibilidad, dice, podría ser que "si un dispositivo no está roto, tal vez no lo arreglen".

Además, la actualización a veces puede tener un costo, aunque sea temporal, para las operaciones. “Hemos visto en un par de casos que, si bien el proceso de actualización no es necesariamente difícil o arduo, tampoco siempre está libre de riesgos para la disponibilidad de la red”. Si la disponibilidad es el objetivo principal, "si están incentivados para no afectar eso, cualquier cosa que se interponga en el camino es algo de lo que van a evitar".

Es necesario actualizar IOS e IOS XE para abordar CVE-2017-6742, pero en los casos en que hacerlo sea complicado, existen otros cambios simples que los administradores de TI pueden hacer para protegerse contra violaciones de infraestructura similares. "Si las actualizaciones no son posibles", dice McQuiggan, "el monitoreo de la red, incluso si es por un servicio de seguridad administrado por un tercero, puede alertar sobre intrusiones y posibles inicios de sesión no autorizados en equipos de red externos".

En su publicación de blog, Cisco enfatizó más que nada la necesidad de restringir la infraestructura a los usuarios confiables. “Diseñadas para evitar la comunicación directa no autorizada a los dispositivos de red, las listas de control de acceso a la infraestructura (ACL) son uno de los controles de seguridad más críticos que se pueden implementar en las redes”, escribieron. “La mejor manera de prevenir la explotación de estas vulnerabilidades es restringir el acceso a administradores y direcciones IP de confianza”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/russian-fancy-bear-apt-exploited-unpatched-cisco-routers-to-hack-us-eu-government-agencies