- La NSA, el FBI, la CISA y 15 agencias aliadas han advertido al Centro 16 del FSB de Rusia que se están utilizando credenciales débiles o predeterminadas y vulnerabilidades obsoletas de Cisco para comprometer dispositivos de infraestructura críticos.
- El aviso destaca CVE-2018-0171 (Smart Install DoS/RCE) y CVE-2008-412813 (CSRF en Cisco IOS 12.4) como ejemplos de vulnerabilidades que aún se están explotando.
- Los TTP se superponen con los grupos chinos, pero señalan la atribución a actores rusos como Berserk Bear y Energetic Bear; El COI completo y la mitigación se publicaron en consulta conjunta.
Según un aviso de seguridad conjunto publicado por la Agencia de Seguridad Nacional (NSA) de EE. UU. y más de una docena de otras agencias, los actores de amenazas patrocinados por el estado ruso apuntan constantemente a dispositivos de red rotos y mal configurados que pertenecen a proveedores de infraestructura crítica en todo el mundo.
Según el aviso, los piratas informáticos que trabajan para el Centro 16 del Servicio Federal de Seguridad de Rusia (FSB) buscan constantemente enrutadores y otros dispositivos conectados a Internet a los que se pueda acceder con credenciales de inicio de sesión “normales o predeterminadas”.
Una vez encontrados, estos dispositivos reciben instrucciones de copiar los archivos de configuración del dispositivo y luego filtrarlos mediante protocolos triviales de transferencia de archivos a los servidores bajo su control.
Oso loco y tifón de sal
En los casos en que las credenciales predeterminadas o débiles no funcionan, los actores de amenazas también intentan explotar las vulnerabilidades. En el aviso, las empresas mencionan específicamente dos vulnerabilidades en dispositivos Cisco: CVE-2018-0171 y CVE-2008-412813. El primero es un error de ocho años en la función Smart Install del software Cisco IOS y del software Cisco IOS XE que permite a un atacante remoto no autorizado provocar una condición de denegación de servicio (DoS) o ejecutar código arbitrario.
Este último es un conjunto aún más antiguo (de 18 años) de múltiples vulnerabilidades de falsificación de solicitudes entre sitios (CSRF) en el componente de administración HTTP en Cisco IOS 12.4 en el enrutador de servicios integrados 871 que permite a atacantes remotos ejecutar comandos arbitrarios.
Si bien muchas de estas tácticas, estrategias y procedimientos (TTP) se superponen con los del hacker chino Salt Typhoon, las organizaciones han sugerido que se están centrando principalmente en los hackers rusos conocidos como Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard o Static Tundra.
El aviso conjunto es coautor de la NSA, el FBI y la CISA y 15 agencias de Australia, el Reino Unido, Canadá, Nueva Zelanda, Estonia, Finlandia, Francia e Italia.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.