Ataque cibernético de Sierra Flaws: Desveladas las vulnerabilidades de los routers
En un reciente análisis de los routers inalámbricos Sierra, Forescout's Vedere Labs descubrió 21 nuevas vulnerabilidades que, aunque relativamente fáciles de explotar, plantean retos históricos para que las empresas las rectifiquen. Vedere Labs de Forescout describió estas vulnerabilidades, que van de gravedad media a crítica, y que afectan a los routers celulares AirLink de Sierra Wireless y a algunos de sus componentes de código abierto, concretamente TinyXML y OpenNDS. La vulnerabilidad de gravedad crítica plantea importantes preocupaciones, ya que los atacantes podrían explotar potencialmente estas vulnerabilidades para asumir el control de los dispositivos de tecnología operativa (OT) e Internet de las Cosas (IoT). Muchos de estos dispositivos desempeñan un papel crucial en la conexión de redes locales para infraestructuras críticas a través de conexiones celulares. Esta entrada del blog cubrirá los detalles del ciberataque de Sierra flaws así como las medidas de mitigación que ayudarán a mantenerse seguro.
Ciberataque Sierra Flaws: Impacto generalizado
A pesar de que Forescout informando de estas vulnerabilidades a Sierra y de los posteriores parches publicados el mes pasado, el problema persiste a una escala considerable. Según la actualización de vulnerabilidades de seguridad de Sierraen concreto, la búsqueda Shodan realizada por Forescout expuso 86.174 routers vulnerables en Internet, con más de 60.000 ubicados en EE.UU. De forma alarmante, se confirmó que menos del 10% de estos routers estaban parcheados contra vulnerabilidades conocidas divulgadas desde 2019. Además, un asombroso 80% de estos dispositivos habían llegado al final de su vida útil, por lo que los parches no estaban disponibles.
Fallos que afectan a sectores críticos
La investigación de Forescout identificó que el ciberataque de Sierra flaws plantea amenazas a sectores clavecomo la fabricación, la sanidad, la energía, el transporte, el agua, los servicios de emergencia y el seguimiento de vehículos. Las ramificaciones potenciales son graves, con la posibilidad de que los atacantes transmitan vídeo a distancia o se infiltren en las redes internas de los vehículos policiales.
Un escenario vívido descrito por Forescout implica a una organización sanitaria, haciendo hincapié en las vulnerabilidades como una vía para que los atacantes comprometan los routers en los hospitales. Esto podría provocar ataques a dispositivos médicos, la distribución de malware y suponer una amenaza sustancial para la seguridad de los pacientes. Así pues, proteger las infraestructuras críticas es cada vez más importante.
Avisos CISA y Explotaciones de Routers Crecientes
Múltiples avisos de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) a lo largo del año pasado subrayan el creciente interés de los atacantes por los routers para obtener acceso inicial, desplegar malware y llevar a cabo tareas de reconocimiento.
En septiembre, CISA advirtió de la existencia de un agente de amenazas vinculado a China, BlackTech, cuyo objetivo es el firmware de los routers, destacando su habilidad para evitar la detección y explotar el firmware para obtener acceso a nivel corporativo. Otro aviso de abril instaba a las empresas a parchear los routers Cisco vulnerables explotados por la APT 28 respaldada por Rusia, conocida como Fancy Bear.
Sierra Wireless AirLink Router
Un aspecto fundamental de la investigación de Forescout profundiza en el marco de aplicaciones Aleos, que contiene bloques de construcción y herramientas para que los desarrolladores creen aplicaciones dentro del router. A pesar de que la documentación del marco recomienda la exposición de Acemanager sólo dentro de las redes locales, los hallazgos de Forescout revelaron más de 86.000 instancias expuestas directamente a Internet. La mayoría de estos dispositivos (casi el 64%) ejecutaban una versión de ALEOS sin los parches de seguridad, exponiendo vulnerabilidades reveladas en dispositivos Sierra Wireless anteriores.
Riesgos de la cadena de suministro y componentes de código abierto
Los investigadores de Forescout descubrieron riesgos significativos asociados con los componentes de código abierto en los routers Sierra Wireless, así como las problemas de seguridad de Sierra OS. Estos routers incorporan software de TinyXML, un proyecto abandonado sin parches en desarrollo, y OpenNDS, utilizado para crear portales cautivos.
Una vulnerabilidad crítica en OpenNDS, con una puntuación CVSS de 9,6, podría explotarse en ataques de denegación de servicio (DoS)lo que supone un riesgo adicional para la cadena de suministro. Los investigadores hicieron hincapié en la dificultad potencial de los propietarios de activos para rastrear y mitigar las vulnerabilidades derivadas del software de código abierto de terceros.
Hacer frente a los riesgos de la cadena de suministro
Daniel dos Santos, Jefe de Investigación de Seguridad de Forescout, subrayó la necesidad de que los fabricantes de equipos originales (OEM) estén atentos a todos los componentes utilizados en sus dispositivos para mitigar los riesgos de la cadena de suministro. Recomendó realizar pruebas de regresión y mantenerse al día de los parches internos para mejorar las medidas de seguridad. En cuanto a los usuarios finales, Santos subrayó la dependencia de los fabricantes para la concienciación y la producción oportuna de parches. Sugirió una doble responsabilidad, instando a los fabricantes a abordar de forma proactiva las vulnerabilidades y subrayando al mismo tiempo la importancia de los controles internos.
Recomendaciones de mitigación para las empresas
Santos aconsejó a las empresas que dieran prioridad a la solución de las vulnerabilidades de los portales cautivos, teniendo en cuenta su facilidad de explotación y su potencial para llevar a la toma del control del dispositivo. Entre los 21 fallos identificados, las vulnerabilidades relacionadas con interfaces web que requieren credenciales de atacante se consideraron las segundas más explotables. Sin embargo, Santos subrayó que ninguna de las vulnerabilidades era excesivamente compleja de explotar. La exposición de más de 80.000 interfaces web en línea se atribuyó a la falta de concienciación y visibilidad de las empresas sobre los entornos de tecnología operativa (OT).
Retos de parcheo oportuno y medidas de seguridad reforzadas
Destacando la angustiosa realidad de que sólo el 10% de los parches confirmados están en circulación, Santos expresó su escepticismo sobre la probabilidad de que el 90% restante sea parcheado. Forescout hizo hincapié en la necesidad imperiosa de que las empresas parcheen exhaustivamente los dispositivos que ejecutan el software afectado, asegurando los sistemas frente al ciberataque de Sierra flaws.
Santos recomendó a las empresas que mejoren su visibilidad y apliquen una gestión eficaz de la evaluación de riesgos para afrontar el reto permanente de la aplicación oportuna de parches. Dado que los routers son dispositivos perimetrales muy susceptibles de ser explotados, Santos subrayó la importancia crítica de priorizar las medidas de seguridad.
Aunque sin relación con la investigación de Sierra, Forescout ha observado un cambio notable en las amenazas a la ciberseguridad en Sierra. Los atacantes se dirigen cada vez más a las vulnerabilidades y debilidades de los dispositivos perimetrales en lugar de confiar en el phishing o la adquisición de credenciales válidas. Santos destacó la explotación masiva de vulnerabilidades recientes o incluso de día cero en dispositivos perimetrales, haciendo hincapié en el potencial de daños sustanciales debido al gran número de dispositivos expuestos.
Conclusión
En conclusión, el riesgos de ciberataques de Sierra flaws subrayan la necesidad crítica de medidas de seguridad proactivas, esfuerzos de colaboración entre fabricantes y usuarios finales y una mayor concienciación sobre los riesgos de la cadena de suministro. A medida que evoluciona el panorama de las amenazas, la importancia de aplicación oportuna de parchesevaluación evaluación exhaustiva del riesgo de ciberataquey la visibilidad de los entornos de red son fundamentales para proteger las infraestructuras críticas y los datos confidenciales.
Las fuentes de este artículo incluyen artículos en The Hacker News y TechTarget.