Los ciberataques están a la orden del día, la lucha entre hackers y empresas o usuarios es constante. Los primeros aprovechan cualquier resquicio de vulnerabilidad para instalar sus virus, mientras que los segundos deben actualizar cuanto antes sus sistemas para mantenerse protegidos. Ejemplo de ello es la brecha detectada por Cisco en sus routers y que da control absoluto sobre el sistema a distancia.
La empresa ha emitido un comunicado donde explica que esta nueva vulnerabilidad de día cero detectada en el último mes permite a los atacantes obtener privilegios completos de administrador y tomar el control de los enrutadores y conmutadores afectados de forma remota. Por este motivo, se ha catalogado el fallo con la puntuación CVSS de gravedad más alta posible.
Esta puerta trasera que ya ha sido aprovechada por algunos piratas informáticos solo afecta a los equipos de redes empresariales, siendo necesario que tengan habilitada la función de interfaz de usuario web y exponerse a Internet o a redes que no son de confianza. Aunque la brecha es limitada y no afecta directamente a usuarios particulares, puede traducirse en una serie de hackeos empresariales con los correspondientes robos de datos confidenciales de sus usuarios o el bloqueo del servicio, los cuales sí impactarían en la seguridad de más personas.
Brecha descubierta
La vulnerabilidad, llamada de día cero por ser desconocida para los usuarios y el fabricante del software, se descubrió el pasado 28 de septiembre por el Centro de Asistencia Técnica (TAC) de Cisco después de recibir unos informes sobre una actividad inusual en el dispositivo de un cliente.
Tras una investigación, la compañía detectó un ataque del 18 de septiembre en el que los hackers habían creado una cuenta de usuario local con el nombre de usuario "cisco_tac_admin" desde una dirección IP sospechosa. Lo mismo ocurrió el 12 de octubre con otra nueva cuenta pirata y, esta vez, los atacantes llegaron a instalar un implante malicioso para ejecutar comandos arbitrarios a nivel del sistema o de IOS.
"Esta vulnerabilidad permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con acceso de nivel de privilegio 15 ", ha explicado Cisco en su comunicado a principios de semana. "El atacante puede entonces utilizar esa cuenta para hacerse con el control del sistema afectado".
El problema afecta tanto a los dispositivos físicos como a los virtuales que ejecutan el software Cisco IOS XE y que también tienen habilitada la función de servidor HTTP o HTTPS. Como mitigación, se recomienda desactivar la función del servidor HTTP en los sistemas conectados a Internet.
[Italia sufre un apagón de internet masivo por un fallo de red internacional y un ciberataque]
Cisco ha atribuido los dos ataques al mismo actor de amenazas, aunque sus orígenes no están claros. "El primer grupo fue posiblemente el intento inicial del actor de probar su código, mientras que la actividad de octubre parece mostrar al actor expandiendo su operación para incluir el establecimiento de un acceso persistente mediante el despliegue del implante", señaló la compañía.
Recomendaciones
La compañía da una serie de indicaciones a sus clientes para mitigar el impacto de esta brecha y frenar posibles actos cibercriminales. Para empezar recomiendan deshabilitar la función del servidor HTTP. También se aconseja encarecidamente a las organizaciones que busquen cuentas de usuario creadas recientemente o inexplicables como posibles indicadores de actividad maliciosa asociada con esta amenaza.
El mes pasado, Cisco advirtió a los clientes que parchearan otra vulnerabilidad de día cero en su software IOS e IOS XE. Ahora deberán hacer lo mismo cuando esté lista la nueva solución a esta brecha detectada.