La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) emitió una directiva de emergencia en la que pide a las agencias federales que tomen medidas inmediatas para identificar y mitigar las vulnerabilidades del sistema con el fin de proteger sus dispositivos de una importante campaña de hackeo, según declaró la agencia en un comunicado del 25 de septiembre.
"Esta campaña generalizada supone un riesgo significativo para las redes de las víctimas, ya que aprovecha vulnerabilidades de día cero que persisten tras los reinicios y las actualizaciones del sistema", dijo CISA.
Las vulnerabilidades de día cero se refieren a fallos de seguridad desconocidos o no abordados en el hardware, el firmware o el software de los ordenadores. Estas vulnerabilidades se denominan "de día cero" porque el software o el dispositivo con dichos fallos tiene cero días para solucionar el problema, lo que permite a los hackers explotarlas de inmediato.
Según la directiva, Cisco evaluó que la campaña de hackeo está relacionada con el actor malicioso ArcaneDoor.
Una publicación de mayo de 2024 de la empresa de seguridad informática y de redes Censys dijo que una investigación de las direcciones IP controladas por ArcaneDoor sugería "la posible implicación de un actor con sede en China, incluyendo vínculos con múltiples redes chinas importantes y la presencia de software anticensura desarrollado en China".
Se descubrió que cuatro de los cinco hosts IP analizados por Censys se encontraban en China, y algunos estaban vinculados al conglomerado chino Tencent y a la empresa de telecomunicaciones china ChinaNet.
“Redes como Tencent y ChinaNet tienen un alcance y recursos extensos, así que tienen sentido como infraestructura para una operación global sofisticada como esta”, dijo Censys en su publicación.
En una declaración del 25 de septiembre, Cisco dijo que en mayo varias agencias gubernamentales la habían contratado para prestar apoyo a una investigación sobre los ataques dirigidos contra los dispositivos ASA de la empresa.
La empresa dijo que tiene “alta confianza” en que la actividad de hackeo estaba relacionada con ArcaneDoor.
“Cisco afirma con alta confianza que actualizar a una versión fija del software romperá la cadena de ataque del actor de amenaza y recomienda con firmeza que todos los clientes actualicen a versiones fijas del software”, dijo la empresa.
La directiva de la CISA se produce después de que Chris Butera, subdirector ejecutivo adjunto de la agencia para cuestiones cibernéticas, hablara de ayudar a las organizaciones a hacer frente al creciente número de vulnerabilidades durante una mesa redonda celebrada el 25 de septiembre por la empresa de medios FedScoop.
Butera habló del catálogo de vulnerabilidades explotadas conocidas (KEV) que utiliza CISA para priorizar las vulnerabilidades del sistema que requieren parches.
"El número de vulnerabilidades publicadas aumentó a más de 40,000 el año pasado. Por lo tanto, para cualquier organización, intentar rastrear y aplicar parches a 40,000 vulnerabilidades diferentes dentro de su ecosistema de TI es un reto muy complejo", dijo.
"Tenemos que hacer mucho más con la automatización, y creo que ahí es donde quizá la IA puede entrar en juego y ayudar con algunas de las piezas de automatización.
En el ámbito federal, hemos obtenido excelentes resultados, ya que más del 99 % de los KEV conectados a Internet han sido parcheados rápidamente por nuestras agencias federales".
Aprovechamiento de los dispositivos CISCO
La directiva de emergencia de la CISA se emitió debido a la amenaza dirigida a los dispositivos Cisco Adaptive Security Appliances (ASA).Cisco ASA es una familia de dispositivos de seguridad de firewall que ofrece a los usuarios "un acceso altamente seguro a los datos y recursos de red", según el sitio web de Cisco. Las vulnerabilidades de los dispositivos ASA pueden permitir a los actores maliciosos acceder a los datos de los usuarios.
En la directiva, CISA pidió a las agencias federales que hicieran un recuento de todos los dispositivos Cisco ASA y Firepower, recopilaran datos forenses y analizaran cualquier compromiso utilizando los procedimientos y herramientas proporcionados por CISA.
Las agencias deben "desconectar los dispositivos que han dejado de recibir soporte y actualizar los que seguirán en servicio antes de las 11:59 p. m. EST del 26 de septiembre de 2025", según la declaración.
Los dispositivos que han dejado de recibir soporte son aquellos que siguen siendo utilizados por las agencias, pero que ya no reciben soporte directo ni actualizaciones de seguridad de sus fabricantes.
"Como responsable de la ciberseguridad federal, CISA está ordenando a las agencias federales que tomen medidas inmediatas debido a la alarmante facilidad con la que un actor malicioso puede explotar estas vulnerabilidades, mantener la persistencia en el dispositivo y obtener acceso a la red de la víctima", dijo el director en funciones de la CISA, Madhu Gottumukkala.
"Los mismos riesgos se aplican a cualquier organización que utilice estos dispositivos. Instamos encarecidamente a todas las entidades a que adopten las medidas descritas en esta directiva de emergencia".
Según la directiva, las agencias deben reportar a CISA un inventario completo de todos los productos afectados, incluyendo detalles sobre las medidas tomadas y los resultados de dichas medidas. Esto debe hacerse antes del 2 de octubre.
Esta es la segunda directiva de emergencia emitida bajo la administración Trump, según CISA. En agosto, la agencia emitió una directiva de emergencia para que las agencias actualizaran sus sistemas con el fin de prevenir vulnerabilidades en Microsoft Exchange.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
