ClickCease Vulnerabilidades de Cisco de día cero: Los hackers aprovechan dos fallos

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Vulnerabilidades de Cisco de día cero: Los hackers aprovechan dos fallos

Wajahat Raja

7 de mayo de 2024 - Equipo de expertos TuxCare

Recientes alertas de ciberseguridad han puesto de manifiesto una tendencia preocupante: los actores de amenazas que explotan vulnerabilidades de día cero de Ciscode Cisco. Bautizada como ArcaneDoor por Cisco Talos, esta sofisticada campaña de malware ha hecho saltar las alarmas debido a su recolección encubierta de datos y a sus tácticas avanzadas. Echemos un vistazo a los detalles de estas vulnerabilidades de día cero de Cisco y exploremos sus implicaciones para la seguridad de la red.

 

Cisco Zero-Day Exploited: Tácticas y técnicas


ArcaneDoor, orquestada por el escurridizo actor patrocinado por el Estado UAT4356, emplea un enfoque polifacético para infiltrarse en los entornos objetivo. En el núcleo de esta campaña se encuentran dos puertas traseras denominadas "Line Runner" y "Line Dancer". Estos componentes maliciosos trabajan en tándem para ejecutar una serie de actividades nefastas, como la manipulación de la configuración, el reconocimiento y la interceptación del tráfico de red.


Explotación de vulnerabilidades de día cero de Cisco


La campaña ArcaneDoor se basa en la explotación de dos vulnerabilidades críticas en Cisco Adaptive Security Appliance y Firepower Threat Defense Software:

 

  1. CVE-2024-20353: Esta vulnerabilidad, con una puntuación CVSS de 8,6, expone un fallo de denegación de servicio en los servicios web de Cisco, lo que hace que los sistemas sean susceptibles a ataques perturbadores.
  2. CVE-2024-20359: Con una puntuación CVSS de 6,0, esta vulnerabilidad permite la ejecución persistente de código local, otorgando a los atacantes la capacidad de ejecutar código arbitrario con privilegios de nivel raíz.

 

Estos fallos de seguridad de Ciscoal aprovechar lagunas de seguridad no reveladas, proporcionan a los malintencionados una puerta de entrada a sistemas vulnerables, lo que pone de relieve la urgente necesidad de aplicar parches y estrategias de mitigación exhaustivas.


Estrategias de mitigación de los actores de amenazas


En respuesta a las
vulnerabilidades de día cero de Ciscola Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. ha añadido las vulnerabilidades identificadas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Las agencias federales están obligadas a aplicar las correcciones proporcionadas por los proveedores antes del 1 de mayo de 2024, lo que subraya la importancia de los esfuerzos de corrección oportunos.


Comprender las vías de acceso inicial


Aunque no se han revelado los medios exactos de entrada inicial, los indicios apuntan a que UAT4356 ya estaba preparando la brecha en julio de 2023. Una vez establecidos, los actores de la amenaza despliegan implantes Line Dancer y Line Runner para establecer puertas traseras persistentes en los entornos objetivo.

Line Dancer, una puerta trasera en memoria, permite a los atacantes ejecutar cargas útiles shellcode y orquestar actividades clandestinas como desactivar los registros del sistema y filtrar datos. Por su parte, Line Runner, un implante Lua basado en HTTP, opera como puerta trasera persistente en Cisco Adaptive Security Appliances, facilitando la recuperación de datos y la exfiltración de información.

UAT4356 muestra un alto grado de sofisticación en la evasión de la detección, empleando métodos intrincados para ocultar las huellas digitales y frustrar la memoria forense. Este meticuloso enfoque pone de manifiesto el amplio conocimiento de la infraestructura de red de Cisco y de las metodologías forenses por parte del autor de la amenaza.

Determinar los orígenes precisos de la campaña ArcaneDoor plantea un reto formidable. Aunque Cisco Talos se abstiene de atribuir explícitamente el ataque a un Estado-nación específico, incidentes anteriores sugieren la participación de hackers respaldados por Estados de países como China y Rusia. La falta de una atribución definitiva subraya la complejidad de las investigaciones de ciberseguridad en el panorama digital.


Implicaciones para la seguridad de las redes


La campaña ArcaneDoor subraya la importancia crítica de proteger los dispositivos de red perimetral. Como principales puertas de entrada y salida de datos, dispositivos como cortafuegos y VPN representan objetivos lucrativos para los actores de amenazas que buscan infiltrarse en las redes de las organizaciones. Para mitigar estos riesgos, las organizaciones deben
dar prioridad a la aplicación rutinaria de parchesmantener actualizadas las configuraciones de hardware y software, e implantar sólidos mecanismos de supervisión, así como tener en cuenta las mejores prácticas de seguridad de redes.


Conclusión


La campaña ArcaneDoor es un claro recordatorio de la evolución del panorama de amenazas al que se enfrentan las organizaciones modernas. Mediante la explotación de vulnerabilidades de día cero y el despliegue de sofisticadas tácticas de infiltración, los actores de las amenazas plantean un desafío formidable a la seguridad de las redes. Seguir avanzando,
medidas proactivas como la gestión gestión de parches para dispositivos Ciscoy la colaboración entre sectores son imprescindibles para reforzar las ciberdefensas y mitigar el riesgo que plantean amenazas emergentes como ArcaneDoor. Mantente protegido con las últimas actualizaciones de seguridad de Cisco.

Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.

Resumen
Vulnerabilidades de Cisco de día cero: Los hackers aprovechan dos fallos
Nombre del artículo
Vulnerabilidades de Cisco de día cero: Los hackers aprovechan dos fallos
Descripción
Descubra cómo los actores de amenazas explotan las vulnerabilidades de día cero de Cisco. Conozca las últimas ciberamenazas y proteja su red.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín