Cisco ha detectat una vulnerabilitat molt greu que obre la porta als pirates informàtics perquè controlin els seus routers a distància.

Com és ben sabut, els ciberatacs estan a l’ordre del dia, la lluita entre pirates informàtics i empreses o usuaris és constant. Els primers aprofiten qualsevol escletxa de vulnerabilitat per instal·lar els seus virus, mentre que els segons han d’actualitzar tan aviat com es pugui els seus sistemes per mantenir-se protegits. Un exemple d’això és la bretxa detectada per Cisco en els seus routers i que dóna control absolut sobre el sistema a distància.

L’empresa ha emès un comunicat on explica que aquesta nova vulnerabilitat de Zero Day detectada en l’últim mes permet als atacants obtenir privilegis complets d’administrador i prendre el control dels routers i commutadors de forma remota. Per aquest motiu, s’ha catalogat el defecte amb la puntuació CVSS de gravetat crítica, és a dir, la més alta possible.

Aquesta back-door que ja ha estat aprofitada per alguns pirates informàtics només afecta els equips de xarxes empresarials, sent necessari que tinguin habilitada la funció d’interfície d’usuari web i exposar-se a Internet o a xarxes que no són de confiança. Tot i que la bretxa és limitada i no afecta directament els usuaris particulars, pot traduir-se en una sèrie d’atacs l’objectiu dels quals siguin els furts de dades confidencials dels seus usuaris o el bloqueig del servei, els quals sí que impactarien en la seguretat de més persones.

Bretxa descoberta

La vulnerabilitat de tipus Zero Day era desconeguda pels usuaris i el fabricant del programari. Es va descobrir el passat 28 de setembre pel Centre d’Assistència Tècnica (TAC) de Cisco després de rebre informes sobre una activitat inusual en el dispositiu d’un client.

Després d’una investigació, la companyia va detectar un atac del 18 de setembre en què els hackers havien creat un compte d’usuari local amb el nom d’usuari “cisco_tac_admin” des d’una adreça IP sospitosa. El mateix va passar el 12 d’octubre amb un altre compte de pirateig i, aquesta vegada, els atacants van arribar a instal·lar un implant maliciós per executar ordres arbitràries amb el sistema de l’IOS.

Segons Cisco en el seu comunicat a principis de setmana, aquesta vulnerabilitat permet a un atacant remot i no autenticat crear un compte en un sistema afectat amb accés de nivell de privilegi 15. Altrament, afegeix que l’atacant pot utilitzar aquest compte per prendre el control del sistema afectat.

El problema afecta tant els dispositius físics com als virtuals que executen el programari Cisco IOS XE i que també tenen habilitada la funció de servidor HTTP o HTTPS. Com a mode de mitigació, es recomana desactivar la funció del servidor HTTP als sistemes connectats a Internet.

Cisco ha atribuït els dos atacs al mateix actor d’amenaces, tot i que els seus orígens no estan clars. Segons assenyala la companyia, el primer grup va ser possiblement l’intent inicial de l’actor per provar el seu codi, mentre que l’activitat d’octubre sembla mostrar a l’actor expandint la seva operació per incloure l’establiment d’un accés persistent mitjançant el desplegament de l’implant.

Recomanacions

L’entitat dóna una sèrie d’indicacions als seus clients per mitigar l’impacte d’aquesta bretxa i frenar possibles actes de cibercriminals. Per començar, recomanen desactivar la funció del servidor HTTP. També s’aconsella encaridament a les organitzacions que busquin comptes d’usuari creats recentment o inexplicables com a possibles indicadors d’activitat maliciosa associada a aquesta amenaça.

El mes passat, Cisco va advertir als clients que afegissin pegats una altra vulnerabilitat de dia zero en el seu programari IOS i IOS XE. Ara hauran de fer el mateix quan estigui llesta la nova solució a aquesta bretxa detectada.