Los ciberataques se han convertido en un desafío diario, en una batalla continua entre hackers y el conjunto de usuarios o empresas. Los hackers buscan incansablemente la menor fisura en la seguridad para desplegar su malware, mientras que empresas y usuarios se ven en la necesidad de realizar actualizaciones frecuentes para salvaguardar sus sistemas. Un caso reciente es la vulnerabilidad encontrada en los routers de Cisco, que concede un control remoto total sobre el sistema.
En respuesta a esta crítica situación, Cisco ha publicado una declaración detallando la reciente detección de una peligrosa vulnerabilidad de día cero. Este defecto crítico permite a los agresores adquirir control total, otorgándoles privilegios de administrador sobre los routers y switches comprometidos, todo a distancia. Dada la extrema gravedad de este fallo, ha recibido la calificación más elevada en la escala CVSS, subrayando la urgencia de la situación.
¿Qué pasó con los routers de Cisco?
Los ciberataques son una realidad inminente, marcando un enfrentamiento perpetuo entre ciberdelincuentes y corporaciones o individuos. Los atacantes explotan cualquier mínima debilidad para infiltrar sus programas maliciosos, mientras que las empresas y usuarios tienen la urgente tarea de actualizar sus sistemas para salvaguardar su seguridad. Un reflejo de esta dinámica es la reciente falla identificada por Cisco en sus routers, que otorga a los ciberdelincuentes un control remoto integral sobre los sistemas afectados.
Cisco ha lanzado una declaración oficial en la que describe una alarmante vulnerabilidad de día cero, identificada recientemente, que concede a los intrusos derechos administrativos completos y la capacidad de dominar remotamente los routers y switches implicados. Debido a la severidad extrema de esta deficiencia, ha sido clasificada con el máximo nivel en la escala de gravedad CVSS.
Esta "puerta trasera", ya explotada por algunos ciberdelincuentes, concierne exclusivamente a hardware de red corporativo, y se activa cuando los dispositivos tienen una interfaz de usuario web y están expuestos a Internet o redes inseguras. A pesar de su alcance limitado, que directamente excluye a usuarios domésticos, esta vulnerabilidad podría catalizar una cadena de infiltraciones en empresas, culminando en la expropiación de información confidencial de clientes o la interrupción de servicios, comprometiendo la seguridad de una audiencia más amplia.
La falla, denominada "de día cero" por ser previamente desconocida para los consumidores y el propio fabricante, fue descubierta el 28 de septiembre por el equipo técnico de Cisco, tras observar patrones de tráfico irregular en el equipo de un cliente.
Te podría interesar leer: El Poder de las SandBox en Ciberseguridad
Durante la subsiguiente investigación, Cisco observó un incidente el 18 de septiembre, donde los atacantes establecieron un perfil de usuario "cisco_tac_admin" desde una dirección IP cuestionable. Un patrón similar se presentó el 12 de octubre, con la creación de otra cuenta ilícita y en esta instancia, los invasores implementaron un software malicioso para iniciar comandos a discreción en el sistema o en IOS.
Cisco detalló en sus primeras comunicaciones semanales: "Esta debilidad autoriza a un agresor remoto y no verificado a configurar una cuenta con privilegios nivel 15 en el sistema comprometido". "Con esta cuenta, el intruso puede capturar el control completo del sistema vulnerable".
La contingencia se extiende a equipos físicos y virtuales que operan con el software Cisco IOS XE y que tienen activa la función de servidor HTTP o HTTPS. Como precaución, se sugiere deshabilitar el servidor HTTP en sistemas con conexión a Internet.
Cisco ha vinculado ambos incidentes a un único perpetrador, cuya procedencia aún no se ha determinado. "El primer ataque fue probablemente una exploración preliminar del criminal para evaluar su código, mientras que los movimientos de octubre indican una expansión en sus operaciones, buscando establecer una infiltración duradera a través de la instalación del malware", concluyó la firma.
Podría interesarte leer: Detección de Ataques Zero-Day con Wazuh
Directrices de Prevención
Cisco proporciona varias estrategias a sus usuarios para reducir las consecuencias de esta vulnerabilidad y prevenir futuras intrusiónes cibernéticas. Como medida inicial, la empresa sugiere desactivar el servidor HTTP. Además, insta a las entidades a investigar y buscar cuentas de usuario recién generadas o aquellas que no tienen una explicación lógica, ya que podrían ser señales de compromiso relacionadas con esta vulnerabilidad.
En el mes anterior, Cisco alertó a sus clientes sobre la necesidad de aplicar un parche debido a otra vulnerabilidad de día cero presente en su software IOS e IOS XE. En esta ocasión, la situación demanda una acción similar y los usuarios deberán prepararse para implementar una nueva solución correctiva tan pronto como esté disponible para contrarrestar este reciente descubrimiento de seguridad.
Aunque la situación puede parecer sombría, hay medidas que los individuos y las empresas pueden tomar para proteger sus redes.
-
Actualizar el firmware del router: Este es el primer y más crucial paso. Asegúrate de que tu dispositivo esté ejecutando la versión más reciente del firmware. Si tu modelo ha sido identificado como vulnerable, verifica si el fabricante ha lanzado un parche de seguridad.
-
Cambiar contraseñas predeterminadas: Muchos dispositivos vienen con credenciales predeterminadas conocidas. Cambiar estas por contraseñas fuertes y únicas es una capa esencial de seguridad.
-
Desactivar la administración remota: Si no necesitas acceder a tu router a través de Internet, desactiva la administración remota para reducir la superficie de ataque.
-
Monitorear el tráfico de la red: Está atento a cualquier actividad inusual en tu red que podría indicar una brecha de seguridad.
-
Considerar una VPN: Una Red Privada Virtual (VPN) puede proporcionarte una capa adicional de seguridad, encriptando tu tráfico de Internet y protegiéndolo de posibles espías.
La seguridad de los routers es a menudo pasada por alto, pero es fundamental para nuestra seguridad digital global. Al entender estas amenazas y tomar medidas proactivas, los usuarios pueden ayudar a proteger sus datos y su privacidad en línea. En este mundo digital, permanecer informado y ser diligente con la ciberseguridad no es solo una opción, es una necesidad.