Cisco Talos advierte de ataques a routers y firewalls de red

La advertencia del grupo de inteligencia Cisco Talos sigue a un aviso del Reino Unido sobre el aumento de exploits contra equipos de red basados en perímetro.

Actualizar el software es la primera y primordial defensa para el caso. 

Por: Michael Cooney | Original de IDGN

 

El grupo de inteligencia de seguridad Talos de Cisco emitió una advertencia sobre un aumento en los ataques altamente sofisticados a la infraestructura de red, incluidos enrutadores y firewalls.

La advertencia de Cisco se suma a una alarma conjunta similar emitida por: 

• El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido
• La Agencia de Seguridad Nacional (NSA) de EE. UU.
• La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA)
• Y la Oficina Federal de Investigaciones (FBI) de EE.  

Todo ello por un aumento en las amenazas, en parte, utilizando un exploit que salió a la luz por primera vez en 2017. 

Ese exploit tenía como objetivo una vulnerabilidad SNMP en los enrutadores de Cisco que el proveedor parchó en 2017.

Pero como señalaron Cisco y las agencias gubernamentales, exploits similares están dirigidos a un amplio conjunto de equipos de redes de múltiples proveedores, que potencialmente incluyen Juniper, Extreme, Allied-Telesis, HP y otros.

“La advertencia involucra no solo al equipo de Cisco, sino también a cualquier equipo de red que se encuentre en el perímetro o que pueda tener acceso al tráfico que un adversario significativamente capaz y bien equipado podría tener interés en interceptar y modificar”, dijo JJ Cummings, el Líder del equipo de Threat Intelligence & Interdiction de Cisco Talos.

Innovación de ataques en red, según Cisco Talos

Cummings lidera el equipo de Talos encargado de las preocupaciones relacionadas con el estado nación, la infraestructura crítica, la aplicación de la ley y la inteligencia.

En el blog que señala el aumento de las amenazas, Cisco Talos escribió que han observado:

• Manipulación de tráfico
• Copia de tráfico
• Configuraciones ocultas
• Malware de enrutadores
• Reconocimiento de infraestructura 
• Y debilitamiento activo de las defensas por parte de adversarios que operan en equipos de red. 

“Dada la variedad de actividades en las que hemos visto participar a los adversarios, han demostrado un nivel muy alto de comodidad y experiencia trabajando dentro de los límites de los equipos de red comprometidos”, señaló el comunicado de Cisco Talos.

Igualmente, indicó que las agencias nacionales de inteligencia y los actores patrocinados por el estado en todo el mundo han atacado la infraestructura de red como objetivo principal. 

“Los dispositivos de enrutamiento / conmutación son estables, se examinan con poca frecuencia desde una perspectiva de seguridad, a menudo están mal parcheados y proporcionan una visibilidad profunda de la red”.

Dispositivos secuestrados

Cummings puntualizó que la idea es transmitir el mensaje de que los equipos de operaciones de red tal vez deben comenzar a abordar las cosas de manera ligeramente diferente. 

O, al menos, ser más conscientes desde una perspectiva de seguridad, 

“Porque hay adversarios significativamente capaces que apuntan a su infraestructura que pueden o no, en muchos de los casos, haber sido significativamente equipada, monitoreada o actualizada”, dijo.

Para él, lo que están viendo, principalmente, son amenazas dirigidas a esos dispositivos algo – antiguos y desactualizados desde la perspectiva del software –  y con este tipo de ataques. 

“Lo que vemos en casi todos los casos en los que puedo pensar es que el adversario también tiene algún nivel de acceso preexistente en un grado u otro a ese dispositivo”, afirmó el líder .del equipo de Threat Intelligence & Interdiction de la empresa. 

Además, Cisco Talos señaló también una serie de amenazas crecientes específicas que incluyen:

• La creación de túneles de encapsulación genérica de enrutador (GRE) y el secuestro del tráfico DNS, dando al actor la capacidad de observar y controlar la resolución DNS.
• Modificar la memoria para reintroducir vulnerabilidades que habían sido parcheadas para que el actor tenga una ruta secundaria a la que acceder.
• Modificación de configuraciones para mover el dispositivo comprometido a un estado que permita al actor ejecutar exploits adicionales
• Instalación de software malintencionado en un dispositivo de infraestructura que proporciona capacidades adicionales al actor.
• El enmascaramiento de ciertas configuraciones para que no puedan ser mostradas por comandos normales. 

Las precauciones recomendadas incluyen la actualización del software

En cuanto a lo que se puede hacer para proteger la infraestructura de red, Cummings indicó que el paso más grande y quizás el más obvio es mantener el software actualizado. 

“Si corrige las vulnerabilidades y está ejecutando el software actual, no va a eliminar por completo su riesgo. Pero si me deshago de 10 CVE, eso reduce drásticamente mi huella de riesgo”, afirmó el especislista. 

Igualmente, recomienda aumentar la visibilidad del comportamiento del dispositivo. 

“Porque sin visibilidad, no necesariamente puedo atrapar al malo haciendo las cosas malas. Necesito poder ver y comprender cualquier cambio o acceso que ocurra a ese dispositivo completamente actualizado”, explicó.

Del mismo modo, aseguró que bloquear estrictamente el acceso a esos dispositivos hace que sea mucho más difícil para los atacantes llegar a ellos.

El blog también sugiere:

• Seleccione contraseñas complejas y cadenas de comunidad. Evite las credenciales predeterminadas.
• Utilice la autenticación multifactor.
• Cifre todo el tráfico de monitoreo y configuración (SNMPv3, HTTPS, SSH, NETCONF, RESTCONF)
• Bloquee y supervise agresivamente los sistemas de credenciales.
• No ejecute hardware y software al final de su vida útil.