{"id":1105247,"date":"2024-04-25T23:00:31","date_gmt":"2024-04-25T23:00:31","guid":{"rendered":"https:\/\/magazineoffice.com\/los-piratas-informaticos-de-los-estados-nacion-aprovechan-los-dias-0-del-firewall-de-cisco-para-hacer-puertas-traseras-a-las-redes-gubernamentales\/"},"modified":"2024-04-25T23:00:34","modified_gmt":"2024-04-25T23:00:34","slug":"los-piratas-informaticos-de-los-estados-nacion-aprovechan-los-dias-0-del-firewall-de-cisco-para-hacer-puertas-traseras-a-las-redes-gubernamentales","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-piratas-informaticos-de-los-estados-nacion-aprovechan-los-dias-0-del-firewall-de-cisco-para-hacer-puertas-traseras-a-las-redes-gubernamentales\/","title":{"rendered":"Los piratas inform\u00e1ticos de los estados-naci\u00f3n aprovechan los d\u00edas 0 del firewall de Cisco para hacer puertas traseras a las redes gubernamentales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\"\/>  <\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 415:single\/related:afbb751a94d924950a2f97b7305bc3c4 --><!-- empty --><\/p>\n<p>Los piratas inform\u00e1ticos respaldados por un poderoso Estado-naci\u00f3n han estado explotando dos vulnerabilidades de d\u00eda cero en los firewalls de Cisco en una campa\u00f1a de cinco meses de duraci\u00f3n que irrumpe en las redes gubernamentales de todo el mundo, informaron investigadores el mi\u00e9rcoles.<\/p>\n<p>Los ataques contra los firewalls de dispositivos de seguridad adaptativos de Cisco son los \u00faltimos de una serie de ataques a la red dirigidos a firewalls, VPN y dispositivos perimetrales de red, que est\u00e1n dise\u00f1ados para proporcionar una especie de puerta con foso que mantiene alejados a los piratas inform\u00e1ticos remotos.  En los \u00faltimos 18 meses, los actores de amenazas, principalmente respaldados por el gobierno chino, han invertido este paradigma de seguridad en ataques que explotan vulnerabilidades previamente desconocidas en dispositivos de seguridad como Ivanti, Atlassian, Citrix y Progress.  Estos dispositivos son objetivos ideales porque se ubican en el borde de una red, proporcionan una tuber\u00eda directa a sus recursos m\u00e1s sensibles e interact\u00faan con pr\u00e1cticamente todas las comunicaciones entrantes.<\/p>\n<h2>Cisco ASA probablemente sea uno de varios objetivos<\/h2>\n<p>El mi\u00e9rcoles fue el turno de Cisco de advertir que sus productos ASA han recibido ese trato.  Desde noviembre, un actor previamente desconocido rastreado como UAT4356 por Cisco y STORM-1849 por Microsoft ha estado explotando dos d\u00edas cero en ataques que instalan dos piezas de malware nunca antes vistas, dijeron investigadores del equipo de seguridad Talos de Cisco.  Los rasgos notables en los ataques incluyen:<\/p>\n<ul>\n<li aria-level=\"1\">Una cadena de exploits avanzada que apuntaba a m\u00faltiples vulnerabilidades, al menos dos de las cuales eran de d\u00eda cero.<\/li>\n<li aria-level=\"1\">Dos puertas traseras maduras y con todas las funciones que nunca antes se hab\u00edan visto, una de las cuales resid\u00eda \u00fanicamente en la memoria para evitar la detecci\u00f3n.<\/li>\n<li aria-level=\"1\">Atenci\u00f3n meticulosa a ocultar huellas limpiando cualquier artefacto que las puertas traseras puedan dejar.  En muchos casos, la limpieza se personaliz\u00f3 en funci\u00f3n de las caracter\u00edsticas de un objetivo espec\u00edfico.<\/li>\n<\/ul>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<p>Esas caracter\u00edsticas, combinadas con un peque\u00f1o grupo de objetivos seleccionados, todos ellos en el gobierno, han llevado a Talos a evaluar que los ataques son obra de piratas inform\u00e1ticos respaldados por el gobierno y motivados por objetivos de espionaje.<\/p>\n<p>\u00abNuestra evaluaci\u00f3n de atribuci\u00f3n se basa en la victimolog\u00eda, el importante nivel de habilidad empleada en t\u00e9rminos de desarrollo de capacidades y medidas antiforenses, y la identificaci\u00f3n y posterior encadenamiento de vulnerabilidades de d\u00eda 0\u00bb, escribieron los investigadores de Talos.  \u00abPor estas razones, evaluamos con alta confianza que estas acciones fueron realizadas por un actor patrocinado por el Estado\u00bb.<\/p>\n<p>Los investigadores tambi\u00e9n advirtieron que la campa\u00f1a de pirater\u00eda probablemente est\u00e9 dirigida a otros dispositivos adem\u00e1s del ASA.  En particular, los investigadores dijeron que todav\u00eda no saben c\u00f3mo UAT4356 obtuvo acceso inicial, lo que significa que las vulnerabilidades de ASA podr\u00edan explotarse s\u00f3lo despu\u00e9s de que una o m\u00e1s vulnerabilidades actualmente desconocidas, probablemente en productos de red de Microsoft y otros, fueran explotadas.<\/p>\n<p>\u00abIndependientemente de su proveedor de equipos de red, ahora es el momento de asegurarse de que los dispositivos est\u00e9n parcheados correctamente, inicien sesi\u00f3n en una ubicaci\u00f3n central segura y est\u00e9n configurados para tener una autenticaci\u00f3n multifactor (MFA) s\u00f3lida\u00bb, escribieron los investigadores.  Cisco ha publicado actualizaciones de seguridad que corrigen las vulnerabilidades e insta a todos los usuarios de ASA a instalarlas lo antes posible.<\/p>\n<p>UAT4356 comenz\u00f3 a trabajar en la campa\u00f1a a m\u00e1s tardar en julio pasado cuando estaba desarrollando y probando los exploits.  En noviembre, el grupo de amenazas instal\u00f3 por primera vez la infraestructura de servidor dedicado para los ataques, que comenzaron en serio en enero.  La siguiente imagen detalla la l\u00ednea de tiempo:<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2024\/04\/uta4356-timeline-640x573.jpeg\" width=\"640\" height=\"573\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2024\/04\/uta4356-timeline-1280x1146.jpeg 2x\"\/><figcaption class=\"caption\">\n<p>cisco<\/p>\n<\/figcaption><\/figure>\n<p>Una de las vulnerabilidades, identificada como CVE-2024-20359, reside en una capacidad ahora retirada que permite la precarga de clientes VPN y complementos en ASA.  Se debe a una validaci\u00f3n inadecuada de los archivos cuando se leen desde la memoria flash de un dispositivo vulnerable y permite la ejecuci\u00f3n remota de c\u00f3digo con privilegios del sistema ra\u00edz cuando se explota.  UAT4356 lo est\u00e1 explotando en puertas traseras de pistas de Cisco con los nombres Line Dancer y Line Runner.  En al menos un caso, el actor de la amenaza est\u00e1 instalando puertas traseras explotando CVE-2024-20353, una vulnerabilidad ASA separada con una clasificaci\u00f3n de gravedad de 8,6 sobre 10 posibles.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los piratas inform\u00e1ticos respaldados por un poderoso Estado-naci\u00f3n han estado explotando dos vulnerabilidades de d\u00eda cero en los firewalls de Cisco en una campa\u00f1a de cinco meses de duraci\u00f3n que&hellip;<\/p>\n","protected":false},"author":1,"featured_media":1023083,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[28269,30699,194,1312,122589,23060,49950,437,9844,246,8,107,9151,7640,2186,46188],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1105247"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=1105247"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1105247\/revisions"}],"predecessor-version":[{"id":1105248,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1105247\/revisions\/1105248"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/1023083"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=1105247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=1105247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=1105247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}