Un grupo de ciberespionaje patrocinado por el estado “ArcaneDoor” aprovechó dos vulnerabilidades, CVE-2024-20353 (denegación de servicio) y CVE-2024-20359 (ejecución de cogido local persistente), para crear “backdoors” en los firewalls de Cisco.
¿Cuál es la amenaza?
Los firewalls Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) presentaron dos vulnerabilidades críticas:
- CVE-2024-20353: presento una vulnerabilidad en denegación de servicio (DoS). Permitiendo a los atacantes interrumpir los servicios en el firewall objetivo, lo que puede provocar un bloqueo o reinicio del sistema brindando de este modo una oportunidad para ser explotada por los atacantes.
- CVE-2024-20359: por su parte presento una vulnerabilidad de ejecución persistente de código local. Permitiendo a los atacantes ejecutar código arbitrario con privilegios a nivel raíz, dándoles control total sobre el dispositivo comprometido. Con ello permite la instalación de “backdoors”, filtración de datos confidenciales y una mayor explotación en la red.
¿Qué aspectos hay que considerar al respecto?
La campaña aprovecha dos vulnerabilidades de día cero, lo que indica un alto nivel de sofisticación y sugiere la participación de un actor de amenazas con buenos recursos, probablemente patrocinado por el estado. Los ataques se centran en dispositivos del perímetro de la red cruciales para la seguridad y la transferencia de datos, resaltan el potencial de un impacto generalizado y subrayan la importancia de realizar un parche con el fin de proteger rápidamente estos dispositivos. El uso de malware personalizado y técnicas avanzadas como implantes residentes en la memoria y tácticas de evasión enfatizan aún más la gravedad y la necesidad de una mayor vigilancia.
¿Cuál es el riesgo?
Las vulnerabilidades explotadas en la campaña “ArcaneDoor” afectan a los firewalls ASA y FTD, que son componentes críticos en la seguridad de la red. Si se aprovechan, estas vulnerabilidades podrían permitir a los atacantes obtener acceso no autorizado a configuraciones de red confidenciales, interceptar y modificar el trafico de la red y ejecutar código arbitrario con privilegios avanzados. Esto podría provocar un mayor compromiso de las redes internas, el robo de datos y la interrupción de servicios críticos. Las organizaciones que utilizan dispositivos Cisco afectados corren un alto riesgo de sufrir daños debido al potencial de compromiso extenso de la red y la filtración de datos.
¿Cuáles son las recomendaciones?
- Aplique los parches de seguridad proporcionados por Cisco para corregir las vulnerabilidades CVE-2024-20353 y CVE-2024-20359.
- Habilitar una Autenticación Multifactor (MFA) solida en todos los dispositivos de red, incluidos los firewalls Cisco (ASA y FTD).
- Supervise los registros del sistema en busca de signos de reinicios no programados, cambio de configuración no autorizados o actividad de uso de credenciales no sospechosa.
- Actualice periódicamente el hardware y el software a las últimas versiones.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR