El grupo de inteligencia de seguridad Cisco's Talos emitió una advertencia hoy sobre un aumento en los ataques altamente sofisticados a la infraestructura de la red, incluidos los enrutadores y los firewalls.
La advertencia de Cisco se suma a una advertencia conjunta similar emitida hoy por el Centro Nacional de Seguridad Cibernética de Reino Unido, The UK National Cyber Security Centre (NCSC), la Agencia de Seguridad Nacional de EE. UU., US National Security Agency (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., US Cybersecurity and Infrastructure Security Agency (CISA), y la Oficina Federal de Investigaciones de EEUU, US Federal Bureau of Investigation (FBI), quienes notaron un aumento en las amenazas utilizando un exploit que salió a la luz por primera vez en 2017.
Ese exploit tenía como objetivo una vulnerabilidad SNMP en los enrutadores de Cisco que el proveedor parchó en 2017.
Pero como señalaron Cisco y las agencias gubernamentales, se están apuntando hazañas similares a un amplio conjunto de equipos de redes de múltiples proveedores, que podrían incluir a Juniper, Extreme, Allied-Telesis, HP y otros.
“La advertencia involucra no solo al equipo de Cisco, sino también a cualquier equipo de red que se encuentre en el perímetro o que pueda tener acceso al tráfico que un adversario significativamente capaz y bien equipado podría tener interés en interceptar y modificar”, dijo JJ Cummings, líder del equipo Cisco Talos Threat Intelligence & Interdiction.
Cummings lidera el equipo de Talos encargado de las preocupaciones relacionadas con el estado nación, la infraestructura crítica, la aplicación de la ley y la inteligencia.
En un blog que señala el aumento de las amenazas, Cisco Talos escribió: “Hemos observado manipulación de tráfico, copia de tráfico, configuraciones ocultas, malware de enrutadores, reconocimiento de infraestructura y debilitamiento activo de las defensas por parte de adversarios que operan en equipos de red. Dada la variedad de actividades en las que hemos visto participar a los adversarios, han demostrado un nivel muy alto de comodidad y experiencia trabajando dentro de los límites de los equipos de red comprometidos”.
Las agencias nacionales de inteligencia y los actores patrocinados por el Estado, en todo el mundo, han atacado la infraestructura de la red como objetivo principal, afirmó Cisco.
“Los dispositivos de enrutamiento / conmutador son estables, se examinan con poca frecuencia desde una perspectiva de seguridad, a menudo tienen parches deficientes y brindan una visibilidad profunda de la red”.
“La idea aquí es transmitir el mensaje de que los equipos de operaciones de red tal vez deben comenzar a abordar las cosas de manera ligeramente diferente o al menos ser más conscientes desde una perspectiva de seguridad, porque hay adversarios significativamente capaces que apuntan a su infraestructura que pueden o no , en muchos de los casos, ha sido significativamente equipado, monitoreado o actualizado”, dijo Cummings.
“Lo que sí vemos principalmente son amenazas dirigidas a esos dispositivos y con este tipo de ataques, dispositivos algo antiguos y ciertamente desactualizados desde la perspectiva del software”, dijo Cummings. “Lo que vemos en casi todos los casos en los que puedo pensar es que el adversario también tiene algún nivel de acceso preexistente en un grado u otro a ese dispositivo”.
En cuanto a lo que se puede hacer para proteger la infraestructura de redes, el paso más grande y quizás el más obvio es mantener el software actualizado, dijo Cummings. “Si corrige las vulnerabilidades y está ejecutando el software actual, ciertamente no eliminará por completo su riesgo. Pero si me deshago de 10 CVE, eso reduce drásticamente mi huella de riesgo”, dijo Cummings.
Recomienda aumentar la visibilidad del comportamiento del dispositivo, “porque sin visibilidad, no necesariamente puedo atrapar al malo haciendo las cosas malas. Necesito poder ver y comprender cualquier cambio o acceso que suceda en ese dispositivo completamente actualizado". Del mismo modo, bloquear estrictamente el acceso a esos dispositivos hace que sea mucho más difícil para los atacantes acceder a ellos, dijo.
El blog también sugiere:
Aviso legal: Este documento ha sido compartido desde la página de Network World con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.