Las vulnerabilidades de larga data en los enrutadores Wi-Fi populares para consumidores y oficinas domésticas fabricados por Cisco, D-Link, Netgear y ZyXel están siendo explotadas de forma rutinaria por actores de amenazas respaldados por el gobierno chino como un medio para comprometer las redes de telecomunicaciones más amplias detrás. ellos, según un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y sus socios en el FBI y la NSA.
En el aviso, las autoridades explican cómo los actores patrocinados por China aprovechan fácilmente los enrutadores y otros dispositivos, como los dispositivos de almacenamiento conectado a la red (NAS), para servir como puntos de acceso que pueden usar para enrutar el tráfico de comando y control (C2/C&C) y realizar intrusiones. sobre otras identidades.
“Durante los últimos años, una serie de vulnerabilidades de alta gravedad para los dispositivos de red proporcionó a los actores cibernéticos la capacidad de explotar y obtener acceso a los dispositivos de infraestructura vulnerable. Además, estos dispositivos a menudo son pasados por alto por los ciberdefensores, que luchan por mantener y seguir el ritmo de los parches de software de rutina de los servicios de Internet y los dispositivos de punto final”, dijo la agencia en su aviso.
CISA dijo que estos actores generalmente realizan sus intrusiones a través de servidores o “puntos de salto” desde direcciones IP con sede en China que se resuelven en varios ISP chinos. Por lo general, los obtienen alquilándolos a proveedores de alojamiento. Estos se utilizan para registrar y acceder a cuentas de correo electrónico operativas, alojar dominios C2 e interactuar con sus redes de destino. También sirven como un ofuscador útil al hacerlo.
Las agencias advirtieron que los grupos detrás de estas intrusiones evolucionan constantemente y adaptan sus tácticas, técnicas y procedimientos (TTP), e incluso se ha observado que monitorean la actividad de los defensores de la red y cambian las cosas sobre la marcha para burlarlos. También combinan sus herramientas personalizadas con las disponibles públicamente, en particular las nativas de sus entornos de destino, para integrarse, y modifican rápidamente su infraestructura y conjuntos de herramientas si la información sobre sus campañas se hace pública.
Muchas de las vulnerabilidades utilizadas son bien conocidas, algunas de ellas datan de hace cuatro años o más. Incluyen CVE-2018-0171, CVE-2019-1652, CVE-2019-15271, todos los errores de ejecución remota de código (RCE) en el hardware de Cisco; CVE-2019-16920, una vulnerabilidad RCE en hardware D-Link; CVE-2017-6682, otra vulnerabilidad RCE en productos Netgear; y CVE-2020-29583, una vulnerabilidad de omisión de autenticación en el kit Zyxel.
Los productos de DrayTek, Fortinet, MikroTik, Pulse y QNAP también se destacan como vulnerables en el aviso. En la lista se incluye CVE-2019-19781, la infame falla RCE en los productos Citrix Application Delivery Controller y Gateway, que causó caos cuando se descubrió en 2019 y hasta el día de hoy sigue siendo una de las vulnerabilidades más explotadas por actores malintencionados.
Dada esta rápida evolución, CISA aconseja a los defensores que se aseguren de que sus sistemas y productos se mantengan actualizados y parcheados en todo momento, así como también aplicar la autenticación multifactor (MFA) para todos los usuarios y, en particular, dada la explotación de los dispositivos domésticos, en las conexiones VPN. utilizado por usuarios remotos. La guía completa se puede leer en el aviso aquí.
El asesor de seguridad cibernética global de ESET, Jake Moore, comentó: “El acceso a las redes de telecomunicaciones permite elevar ataques más extensos desde la plataforma dada. Una vez a bordo, los atacantes pueden apuntar a otras redes y causar daños graves. Los grupos de amenazas persistentes avanzadas están aumentando en poder y sofisticación, y dichos objetivos siguen bajo fuego, actuando como un centro de posibles líneas de ataque adicional.
“Reducir el movimiento lateral al desconectar redes particulares para segregarlas ayuda a mitigar los ataques laterales, además de reforzar los métodos de inicio de sesión para incluir una autenticación multifactorial más sólida también ayuda a reducir este riesgo”.
