¿Zero-day en Cisco? Expertos detectan un repentino aumento de ataques contra dispositivos ASA
Un botnet misterioso prepara un ciberataque masivo.
A finales de agosto GreyNoise registró un aumento brusco de la actividad de escáneres dirigidos a dispositivos Cisco ASA. Los especialistas advierten que olas similares a menudo preceden al descubrimiento de nuevas vulnerabilidades en productos. Esta vez se trata de dos picos: en ambos casos los atacantes escanearon masivamente las páginas de autenticación de ASA y el acceso Telnet/SSH en Cisco IOS.
El 26 de agosto se registró un ataque especialmente grande, iniciado por un botnet de Brasil, que empleó alrededor de 17 000 direcciones únicas y aportó hasta el 80% del tráfico. En total se observaron hasta 25 000 orígenes IP. Es interesante que durante ambos picos se usaran encabezados de navegador similares, que se hacían pasar por Chrome, lo que sugiere una infraestructura común.
El golpe principal afectó a Estados Unidos, pero también estuvieron bajo observación Reino Unido y Alemania. Según GreyNoise, aproximadamente en el 80% de los casos esa clase de reconocimiento acaba derivando en la posterior revelación de nuevos problemas de seguridad, aunque para Cisco la relación estadística es notablemente más débil que para otros fabricantes. No obstante, tales indicadores permiten a los administradores reforzar la protección con antelación.
En varios casos puede tratarse de intentos infructuosos de explotar fallos ya corregidos, pero una campaña de tal escala también puede tener por objetivo mapear los servicios disponibles para un uso posterior de vulnerabilidades aún no divulgadas. Un administrador de sistemas independiente con el alias NadSec – Rat5ak informó de una actividad similar, que comenzó a finales de julio y fue adquiriendo intensidad hasta el 28 de agosto. Registró más de 200 000 accesos a ASA durante 20 horas con una carga constante de 10 000 solicitudes por cada dirección, lo que indica una profunda automatización. Las fuentes resultaron ser tres sistemas autónomos — Nybula, Cheapy-Host y Global Connectivity Solutions LLP.
Se aconseja a los administradores instalar lo antes posible las actualizaciones vigentes para Cisco ASA, a fin de cerrar agujeros conocidos, habilitar la autenticación multifactor para todas las entradas remotas y no publicar directamente las páginas /+CSCOE+/logon.html, WebVPN, Telnet o SSH. En caso de extrema necesidad se recomienda exponer el acceso al exterior mediante un concentrador VPN, un proxy inverso o una pasarela con verificación adicional. También se pueden usar indicadores de ataque publicados por GreyNoise y Rat5ak para bloquear solicitudes sospechosas en el perímetro y, si es necesario, activar el bloqueo geográfico y la limitación de la frecuencia de las solicitudes. Cisco aún no ha comentado los hechos.