Mejores prácticas de ciberseguridad

Cisco advierte sobre ataques a enrutadores de red y firewalls.

icono de linkedin
Willie Geronimo
Gerente de Ciberseguridad

El grupo de inteligencia de seguridad Cisco's Talos emitió una advertencia hoy sobre un aumento en los ataques altamente sofisticados a la infraestructura de la red, incluidos los enrutadores y los firewalls.

La advertencia de Cisco se suma a una advertencia conjunta similar emitida hoy por el Centro Nacional de Seguridad Cibernética de Reino Unido, The UK National Cyber Security Centre (NCSC), la Agencia de Seguridad Nacional de EE. UU., US National Security Agency (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., US Cybersecurity and Infrastructure Security Agency (CISA), y la Oficina Federal de Investigaciones de EEUU, US Federal Bureau of Investigation (FBI), quienes notaron un aumento en las amenazas utilizando un exploit que salió a la luz por primera vez en 2017.

Ese exploit tenía como objetivo una vulnerabilidad SNMP en los enrutadores de Cisco que el proveedor parchó en 2017.

Pero como señalaron Cisco y las agencias gubernamentales, se están apuntando hazañas similares a un amplio conjunto de equipos de redes de múltiples proveedores, que podrían incluir a Juniper, Extreme, Allied-Telesis, HP y otros.

“La advertencia involucra no solo al equipo de Cisco, sino también a cualquier equipo de red que se encuentre en el perímetro o que pueda tener acceso al tráfico que un adversario significativamente capaz y bien equipado podría tener interés en interceptar y modificar”, dijo JJ Cummings, líder del equipo Cisco Talos Threat Intelligence & Interdiction.

Cummings lidera el equipo de Talos encargado de las preocupaciones relacionadas con el estado nación, la infraestructura crítica, la aplicación de la ley y la inteligencia.

En un blog que señala el aumento de las amenazas, Cisco Talos escribió: “Hemos observado manipulación de tráfico, copia de tráfico, configuraciones ocultas, malware de enrutadores, reconocimiento de infraestructura y debilitamiento activo de las defensas por parte de adversarios que operan en equipos de red. Dada la variedad de actividades en las que hemos visto participar a los adversarios, han demostrado un nivel muy alto de comodidad y experiencia trabajando dentro de los límites de los equipos de red comprometidos”.

Las agencias nacionales de inteligencia y los actores patrocinados por el Estado, en todo el mundo, han atacado la infraestructura de la red como objetivo principal, afirmó Cisco.

“Los dispositivos de enrutamiento / conmutador son estables, se examinan con poca frecuencia desde una perspectiva de seguridad, a menudo tienen parches deficientes y brindan una visibilidad profunda de la red”.

“La idea aquí es transmitir el mensaje de que los equipos de operaciones de red tal vez deben comenzar a abordar las cosas de manera ligeramente diferente o al menos ser más conscientes desde una perspectiva de seguridad, porque hay adversarios significativamente capaces que apuntan a su infraestructura que pueden o no , en muchos de los casos, ha sido significativamente equipado, monitoreado o actualizado”, dijo Cummings.

“Lo que sí vemos principalmente son amenazas dirigidas a esos dispositivos y con este tipo de ataques, dispositivos algo antiguos y ciertamente desactualizados desde la perspectiva del software”, dijo Cummings. “Lo que vemos en casi todos los casos en los que puedo pensar es que el adversario también tiene algún nivel de acceso preexistente en un grado u otro a ese dispositivo”.

Cisco notó una serie de amenazas crecientes específicas que incluyen:

  • La creación de túneles de encapsulación de enrutador genérico (GRE) y el secuestro del tráfico de DNS, lo que brinda al actor la capacidad de observar y controlar la resolución de DNS.

  • Modificar la memoria para reintroducir vulnerabilidades que habían sido parcheadas para que el actor tenga una ruta secundaria de acceso.

  • Modificación de configuraciones para mover el dispositivo comprometido a un estado que permita al actor ejecutar exploits adicionales.

  • Instalación de software malicioso en un dispositivo de infraestructura que proporciona capacidades adicionales al actor.

  • El enmascaramiento de ciertas configuraciones para que no puedan ser mostradas por comandos normales.

Las precauciones recomendadas incluyen la actualización del software.

En cuanto a lo que se puede hacer para proteger la infraestructura de redes, el paso más grande y quizás el más obvio es mantener el software actualizado, dijo Cummings. “Si corrige las vulnerabilidades y está ejecutando el software actual, ciertamente no eliminará por completo su riesgo. Pero si me deshago de 10 CVE, eso reduce drásticamente mi huella de riesgo”, dijo Cummings.

Recomienda aumentar la visibilidad del comportamiento del dispositivo, “porque sin visibilidad, no necesariamente puedo atrapar al malo haciendo las cosas malas. Necesito poder ver y comprender cualquier cambio o acceso que suceda en ese dispositivo completamente actualizado". Del mismo modo, bloquear estrictamente el acceso a esos dispositivos hace que sea mucho más difícil para los atacantes acceder a ellos, dijo.

El blog también sugiere:

  • Seleccione contraseñas complejas y cadenas comunitarias; evitar las credenciales predeterminadas.

  • Utilice la autenticación multifactor.

  • Cifre todo el tráfico de monitoreo y configuración (SNMPv3, HTTPS, SSH, NETCONF, RESTCONF)

  • Bloquee y supervise agresivamente los sistemas de credenciales.

  • No ejecute hardware y software al final de su vida útil.

Aviso legal: Este documento ha sido compartido desde la página de Network World con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.

logo letras negras automox
logo AWS
logo azure
logo barracuda
logo carbonite
logo datto
logo fortinet
logo sentinel
logo phoenixNAP global it services
logo rackspace
logo negro redstor
Never Off Icon
logo en letras negras SentinelOne
logo snap defense
logo veeam
logo zerto

Artículos relacionados

Estrategias vitalmente defensivas para protegerse en un mundo digital vulnerable: Una amenaza continua en 2024
Artículo
Estrategias vitalmente defensivas para protegerse en un mundo digital vulnerable: Una amenaza continua en 2024

SentinelOne es la única plataforma de ciberseguridad construida especialmente para proteger todos los equipos.

Jose Chacin
Jose Chacin
Director de Operaciones y Co-Fundador
Leer más
icono de flecha hacia la derecha color azul
Una ola mundial de ransomware se dirige a los servidores VMware ESXi
Artículo
Una ola mundial de ransomware se dirige a los servidores VMware ESXi

La amenaza del ransomware apunta a los servidores VMware ESXi"

Isaury Almonte
Isaury Almonte
Coordinadora Comercial
Leer más
icono de flecha hacia la derecha color azul
Conectados pero seguros: Cómo mantener la Ciberseguridad en el trabajo remoto
Artículo
Conectados pero seguros: Cómo mantener la Ciberseguridad en el trabajo remoto

Tácticas Efectivas y Herramientas Esenciales para Garantizar la Seguridad de tu Empresa y de tus Empleados mientras Trabajan en la modalidad Remota

Jose Chacin
Jose Chacin
Director de Operaciones y Co-Fundador
Leer más
icono de flecha hacia la derecha color azul
+
Ver más

Ten la tranquilidad de
que tu empresa está protegida

Logo Never Off Negativo
Protección de la dataCiberseguridad corporativaConsultoría  tecnológicaInfraestructura en la nube
BlogRecursosFAQ’sContacto
icono de computadora con usuario
Centro de Soporte
¿Bajo ataque?
Política de Privacidad