{"id":583366,"date":"2023-04-20T07:28:07","date_gmt":"2023-04-20T07:28:07","guid":{"rendered":"https:\/\/magazineoffice.com\/los-enrutadores-de-cisco-estan-siendo-atacados-por-malware-ruso-personalizado\/"},"modified":"2023-04-20T07:28:12","modified_gmt":"2023-04-20T07:28:12","slug":"los-enrutadores-de-cisco-estan-siendo-atacados-por-malware-ruso-personalizado","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-enrutadores-de-cisco-estan-siendo-atacados-por-malware-ruso-personalizado\/","title":{"rendered":"Los enrutadores de Cisco est\u00e1n siendo atacados por malware ruso personalizado"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Los actores de amenazas patrocinados por el estado ruso han creado malware personalizado y lo est\u00e1n utilizando contra enrutadores Cisco IOS antiguos y sin parches.<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span>ha advertido un informe conjunto de Estados Unidos y el Reino Unido. <\/p>\n<p>El Centro Nacional de Seguridad Cibern\u00e9tica (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) publicaron un informe<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span> en el que afirman que APT28, un grupo supuestamente afiliado a la Direcci\u00f3n Principal de Inteligencia (GRU) del Estado Mayor General de Rusia, desarroll\u00f3 un malware personalizado llamado \u201cJaguar Tooth\u201d. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Este malware es capaz de robar datos confidenciales que pasan a trav\u00e9s del enrutador y permite a los actores de amenazas acceso de puerta trasera no autenticado al dispositivo.<\/p>\n<h2 id=\"stealing-data\">Robo de datos<\/h2>\n<p>Los atacantes primero buscar\u00edan enrutadores p\u00fablicos de Cisco utilizando cadenas de comunidad SNMP d\u00e9biles, como la cadena \u00abp\u00fablica\u00bb de uso com\u00fan, informa BleepingComputer.  Seg\u00fan la publicaci\u00f3n, las cadenas comunitarias de SNMP son como \u00abcredenciales que permiten que cualquier persona que conozca la cadena configurada consulte los datos de SNMP en un dispositivo\u00bb. <\/p>\n<p>Si encuentran una cadena de comunidad SNMP v\u00e1lida, los atacantes buscar\u00e1n explotar CVE-2017-6742, una vulnerabilidad de seis a\u00f1os que permite la ejecuci\u00f3n remota de c\u00f3digo.  Eso les permite instalar el malware Jaguar Tooth directamente en la memoria de los enrutadores Cisco. <\/p>\n<p>\u00abJaguar Tooth es un malware no persistente que se dirige a los enrutadores Cisco IOS que ejecutan firmware: C5350-ISM, versi\u00f3n 12.3 (6)\u00bb, se lee en el aviso.  \u00abIncluye funcionalidad para recopilar informaci\u00f3n del dispositivo, que filtra a trav\u00e9s de TFTP, y permite el acceso de puerta trasera no autenticado. Se ha observado que se implementa y ejecuta mediante la explotaci\u00f3n de la vulnerabilidad SNMP parcheada CVE-2017-6742\u00bb.<\/p>\n<p>Luego, el malware crear\u00e1 un nuevo proceso llamado \u00abBloqueo de pol\u00edtica de servicio\u00bb que recopila todos los resultados de estos comandos de la interfaz de l\u00ednea de comandos y los recolecta mediante TFTP: <\/p>\n<ul>\n<li>Mostrar configuraci\u00f3n en ejecuci\u00f3n<\/li>\n<li>mostrar versi\u00f3n<\/li>\n<li>muestre el resumen de la interfaz IP<\/li>\n<li>mostrar arp<\/li>\n<li>mostrar vecinos cdp<\/li>\n<li>mostrar inicio<\/li>\n<li>mostrar ruta ip<\/li>\n<li>mostrar flash<\/li>\n<\/ul>\n<p>Para solucionar el problema, los administradores deben actualizar el firmware de sus enrutadores Cisco de inmediato.  Adem\u00e1s, pueden cambiar de SNMP a NETCONF\/RESTCONF en enrutadores p\u00fablicos.  Si no pueden cambiar de SNMP, deben configurar listas de permitidos y denegados para limitar qui\u00e9n puede acceder a la interfaz SNMP en enrutadores conectados a Internet.  Adem\u00e1s, la cadena comunitaria debe cambiarse a algo m\u00e1s fuerte.<\/p>\n<p>El aviso tambi\u00e9n dice que los administradores deben deshabilitar SNMP v2 o Telnet.<\/p>\n<p> A trav\u00e9s de: <u>BleepingEquipo<\/u><span class=\"sr-only\">  (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-35<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas patrocinados por el estado ruso han creado malware personalizado y lo est\u00e1n utilizando contra enrutadores Cisco IOS antiguos y sin parches. (se abre en una pesta\u00f1a&hellip;<\/p>\n","protected":false},"author":1,"featured_media":583367,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[9272,30699,30697,681,8,848,3382,110,630,1570],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/583366"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=583366"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/583366\/revisions"}],"predecessor-version":[{"id":583368,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/583366\/revisions\/583368"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/583367"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=583366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=583366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=583366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}