L’empresa ha confirmat l’explotació activa d’una vulnerabilitat de dia zero que permet que els atacants executin codi amb privilegis totals en sistemes clau de correu electrònic empresarial.

Un grup d’atacants vinculats a la Xina explota activament una vulnerabilitat de tipus zero-day en productes de seguretat de correu electrònic de Cisco, un dels socis tecnològics més usats per grans empreses i administracions públiques de tot el món. 

La decisió, considerada crítica, permet que els atacants prenguin el control total dels sistemes afectats i ja s’utilitza en campanyes reals contra organitzacions.

Una vulnerabilitat de dia zero és una fallada de seguretat que comença a explotar-se abans que el fabricant tingui temps de publicar un pedaç per corregir-ho. Això converteix aquest tipus d’atacs en especialment perillosos, perquè les víctimes no es poden defensar aplicant una actualització immediata i han de recórrer a mesures provisionals per reduir el risc.

En aquest cas, el problema afecta el programari AsyncOS, el qual fan servir diversos productes de Cisco destinats a protegir l’email corporatiu davant de correu brossa, codi maliciós i atacs de suplantació. Aquests sistemes solen ocupar una posició crítica dins de les xarxes empresarials, atès que gestionen grans volums de correus i dades delicades. La fallada permet que els atacants executin ordres amb privilegis màxims, cosa que equival a tenir accés total al sistema compromès.

Cisco ha confirmat que la vulnerabilitat és explotada de forma activa i que els atacs han estat atribuïts a un grup identificat com a UAT-9686. 

Segons el gegant TIC, les tècniques emprades per aquest actor d’amenaces tenen similituds amb les d’altres actors coneguts des de fa anys per dur a terme campanyes de ciberespionatge alineades amb els interessos de l’Estat xinès. Aquests atacants solen centrar-se en objectius estratègics com ara governs, grans corporacions, empreses tecnològiques o infraestructures crítiques.

«El 10 de desembre, Cisco va detectar una nova campanya de ciberatac dirigida a un subconjunt limitat de dispositius amb certs ports oberts a Internet que executen el programari Cisco AsyncOS per a Cisco Secure Email Gateway i Cisco Secure Email and Web Manager. Aquest atac permet que els cibercriminals executin comandaments arbitraris amb privilegis de root en el sistema operatiu subjacent d’un dispositiu afectat. La investigació en curs ha revelat l’evidència d’un mecanisme de persistència implementat pels ciberdelinqüents per mantenir un cert control sobre els dispositius compromesos», han assenyalat en un avís de seguretat.

Davant la manca de pedaç en el moment de detectar-se l’explotació, Cisco i les agències de ciberseguretat han recomanat mesures d’emergència, com ara limitar o bloquejar l’accés des d’Internet a les interfícies afectades i, en els casos més greus, reconstruir completament els sistemes compromesos per eliminar qualsevol accés persistent que els atacants poguessin haver deixat instal·lat.

Aquest suggeriment de reconstruir els dispositius des de zero reflecteix la gravetat de l’atac. Quan un actor aconsegueix privilegis d’administrador en un sistema crític, és molt difícil garantir que no hagi deixat portes del darrere ocultes. Per això, en aquest tipus d’incidents sovint s’opta per reinstal·lar completament el sistema, una operació costosa i complexa per a moltes organitzacions.

Parteix d’una tendència

Aquest atac no és un cas aïllat. En els darrers anys s’ha observat un increment notable en l’ús de vulnerabilitats zero-day per part de grups vinculats a diferents estats, especialment en productes empresarials àmpliament desplegats. Plataformes de virtualització, solucions VPN i eines de gestió remota han estat objectius recurrents, en molts casos explotats durant mesos abans que les víctimes fossin conscients del problema.

La tendència apunta que els atacants busquen comprometre tecnologies que actuen com a ‘portes d’entrada’ a les xarxes corporatives. Un cop dins, es poden moure lateralment, robar informació delicada o mantenir un accés prolongat per a futures operacions d’espionatge o sabotatge.