🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Hackers rusos están usando malware personalizado para enrutadores Cisco

Los Estados Unidos, el Reino Unido y Cisco advirtieron que los hackers del grupo patrocinado por el estado ruso APT28 están implementando un malware personalizado llamado ‘Jaguar Tooth’ en los enrutadores Cisco IOS. El mencionado malware permite el acceso no autenticado al dispositivo.

APT28, también conocido como Fancy Bear, STRONTIUM, Sednit y Sofacy, es un grupo de hackers patrocinado por el estado vinculado a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia. A este grupo de hackers se le ha  atribuido una amplia gama de ataques a entidades europeas y estadounidenses y se sabe que abusa de exploits de día cero para realizar ciberespionaje.

Un informe conjunto publicado hoy por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, la NSA y el FBI detalla cómo los hackers de APT28 han estado explotando una antigua vulnerabilidad SNMP en los enrutadores Cisco IOS para implementar un malware personalizado llamado ‘Jaguar Tooth’.

Malware personalizado para enrutadores Cisco IOS 

Jaguar Tooth es un malware que se inyecta directamente en la memoria de los enrutadores Cisco que ejecutan versiones de firmware anteriores. Una vez instalado, el malware extrae información del enrutador y proporciona acceso de puerta trasera no autenticado al dispositivo.

“Jaguar Tooth es un malware no persistente que se dirige a los enrutadores Cisco IOS que ejecutan firmware: C5350-ISM, versión 12.3 (6). “

“Incluye funcionalidad para recopilar información del dispositivo, que filtra a través de TFTP, y permite el acceso de puerta trasera no autenticado. Se ha observado que se implementa y ejecuta mediante la explotación de la vulnerabilidad SNMP parcheada CVE-2017-6742″.

Para instalar el malware, los atacantes buscan enrutadores Cisco públicos utilizando cadenas de comunidad SNMP débiles, como la cadena “pública” de uso común. Las cadenas comunitarias de SNMP son como credenciales que permiten que cualquier persona que conozca la cadena configurada consulte los datos de SNMP en un dispositivo.

Si se descubre una cadena de comunidad SNMP válida, los atacantes explotan la vulnerabilidad SNMP CVE-2017-6742,  corregida en junio de 2017. Esta vulnerabilidad es una vulnerabilidad de ejecución de código remoto no autenticado con código de explotación disponible públicamente.

Una vez que los atacantes acceden al enrutador Cisco, parchean su memoria para instalar el malware Jaguar Tooth personalizado y no persistente.

“Esto otorga acceso a las cuentas locales existentes sin verificar la contraseña proporcionada, cuando se conecta a través de Telnet o una sesión física”. 

NCSC

Nuevo proceso

Además, el malware crea un nuevo proceso llamado ‘Service Policy Lock’ que recopila la salida de los siguientes comandos de la interfaz de línea de comandos (CLI) y la extrae mediante TFTP:

  • show running-config
  • show version
  • show ip interface brief
  • show arp
  • show cdp neighbors
  • show start
  • show ip route
  • show flash

Todos los administradores de Cisco deben actualizar sus enrutadores al firmware más reciente para mitigar estos ataques.

Cisco también  recomienda cambiar  de SNMP a NETCONF/RESTCONF en enrutadores públicos para administración remota, ya que ofrece seguridad y funcionalidad más sólidas.

Si se requieren SNMP, los administradores deben configurar  listas de dispositivos permitidos y denegados  para restringir quién puede acceder a la interfaz SNMP en enrutadores expuestos públicamente, y la cadena comunitaria debe cambiarse a una cadena aleatoria lo suficientemente fuerte.

CISA también recomienda deshabilitar SNMP v2 o Telnet en los enrutadores de Cisco, ya que estos protocolos podrían permitir el robo de credenciales del tráfico no cifrado.

Finalmente, si sospechas que un dispositivo ha sido comprometido, CISA recomienda utilizar los consejos de Cisco para  verificar la integridad de la imagen del IOS, revocar todas las claves asociadas con el dispositivo y no reutilizar las claves antiguas.  Además, reemplazar las imágenes con aquellas directamente de Cisco.

Un cambio en los objetivos

El aviso destaca una tendencia creciente entre los hackers patrocinados por el estado para crear malware personalizado para dispositivos de red para realizar espionaje y vigilancia cibernéticos.

En marzo, Fortinet y Mandiant revelaron que  hackers chinos estaban apuntando a dispositivos vulnerables de Fortinet  con malware personalizado en una serie de ataques contra entidades gubernamentales.

También en marzo, Mandiant informó sobre una supuesta campaña de hackers chinos que instaló  malware personalizado en dispositivos SonicWall expuestos .

Como los dispositivos de red perimetrales no son compatibles con las soluciones de detección y respuesta de puntos finales (EDR), se están convirtiendo en un objetivo popular para los hackers.

Además, como se encuentran en el borde con casi todo el tráfico de la red corporativa fluyendo a través de ellos, son objetivos atractivos para vigilar el tráfico de la red y recopilar credenciales para un mayor acceso a la red.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información