AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Grupo de ransomware explota vulnerabilidad crítica en firewalls Cisco antes de su divulgación pública

admin

#### 1. Introducción

En las últimas semanas ha salido a la luz un incidente de especial relevancia para la comunidad de ciberseguridad: un grupo de ransomware, conocido por llevar a cabo ataques de doble extorsión, logró explotar una vulnerabilidad crítica en dispositivos firewall de Cisco semanas antes de que la compañía hiciera pública la existencia del fallo. Este hecho pone el foco sobre la importancia de la inteligencia de amenazas, la gestión proactiva de vulnerabilidades y la necesidad de robustecer los procesos de divulgación y parcheo en infraestructuras críticas.

#### 2. Contexto del Incidente o Vulnerabilidad

La vulnerabilidad, identificada como CVE-2024-20353, afecta a los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), ampliamente desplegados en entornos empresariales para la protección perimetral y la gestión de acceso seguro. El fallo fue catalogado como crítico por Cisco, ya que permite la ejecución remota de código sin autenticación previa.

El grupo de ransomware implicado en el incidente se especializa en ataques de doble extorsión: no solo cifran los datos de las víctimas, sino que también exfiltran información sensible con el objetivo de presionar el pago bajo amenaza de divulgación pública. Según fuentes de inteligencia, la explotación de la vulnerabilidad por parte de los atacantes comenzó al menos tres semanas antes de que Cisco publicase detalles y parches, lo que sugiere acceso privilegiado a información técnica o la capacidad de realizar ingeniería inversa avanzada sobre dispositivos aún no parcheados.

#### 3. Detalles Técnicos

##### CVE Afectada y Vectores de Ataque

– **CVE-2024-20353**
– **CVSS Score:** 9.8 (Crítico)
– **Productos afectados:** Cisco ASA 9.16.x y FTD 7.2.x y anteriores
– **Vector de ataque:** Acceso remoto a través de servicios expuestos en Internet (SSL VPN, administración remota)
– **Técnica MITRE ATT&CK:** T1190 (Exploitation of Public-Facing Application), T1078 (Valid Accounts)

El exploit permite al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente del firewall, con privilegios de sistema, sin requerir autenticación. Varias fuentes han confirmado la existencia de exploits funcionales en frameworks como Metasploit y Cobalt Strike. Los Indicadores de Compromiso (IoC) asociados incluyen patrones inusuales de tráfico a puertos de administración y binarios maliciosos desplegados en el filesystem del dispositivo.

##### TTPs observadas

– Escaneo masivo de rangos de IP para identificar dispositivos vulnerables.
– Explotación automatizada mediante scripts personalizados.
– Uso de herramientas post-explotación para el movimiento lateral y la exfiltración de credenciales.
– Implementación de payloads de ransomware y herramientas de exfiltración de datos.

#### 4. Impacto y Riesgos

La explotación de una vulnerabilidad en firewalls perimetrales supone una amenaza directa para la confidencialidad, integridad y disponibilidad de los activos protegidos. En este caso, al menos un 8% de los dispositivos Cisco ASA/FTD expuestos en Internet según Shodan estaban en versiones afectadas en el momento de la explotación.

Los riesgos incluyen:

– Compromiso total de la red interna.
– Robo y cifrado de información crítica.
– Interrupción de operaciones y servicios esenciales.
– Sanciones regulatorias bajo GDPR y NIS2, especialmente en sectores regulados (financiero, salud, infraestructuras críticas).
– Impacto económico: los rescates demandados por el grupo superan los 2 millones de euros en algunos casos recientes.

#### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Aplicar los parches publicados por Cisco para ASA y FTD (versiones igual o superiores a 9.16.3.21 y 7.2.5 respectivamente).
– **Revisión de exposiciones:** Limitar el acceso remoto a interfaces de administración y SSL VPN a través de listas blancas IP y segmentación de red.
– **Monitorización avanzada:** Implementar reglas de detección específicas en SIEM y EDR para identificar actividad de explotación e indicadores de compromiso.
– **Hardening:** Deshabilitar servicios innecesarios y fortalecer la autenticación multifactor en accesos administrativos.
– **Respuesta ante incidentes:** Revisar logs y realizar un análisis forense en dispositivos potencialmente afectados.

#### 6. Opinión de Expertos

Varios analistas SOC y responsables de ciberseguridad han destacado la peligrosidad de la explotación pre-publicación (“zero-day”) en dispositivos de seguridad perimetral. Según José Luis Antón, CISO de una entidad financiera española, “este incidente demuestra que los actores de amenazas tienen acceso a vulnerabilidades antes que la propia comunidad defensiva, lo que obliga a reforzar la inteligencia proactiva y los procesos de gestión de parches.”

Por su parte, la consultora S21sec advierte que “el uso de doble extorsión y el targeting de dispositivos perimetrales marcan una tendencia creciente y preocupante, especialmente en infraestructuras críticas protegidas por normativa NIS2”.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus políticas de gestión de vulnerabilidades y aplicar un enfoque basado en riesgos. La explotación de firewalls compromete no solo la seguridad de la red, sino también la confianza de clientes y reguladores. Además, la rápida explotación antes de la divulgación pública plantea desafíos para el sector: es imprescindible colaborar en comunidades de intercambio de inteligencia (ISAC, CERT) y mantener inventarios actualizados de activos expuestos.

Los usuarios finales, aunque menos afectados directamente, pueden sufrir interrupciones de servicios o filtraciones de datos personales en caso de que las empresas proveedoras sean víctimas.

#### 8. Conclusiones

Este incidente subraya la importancia de anticipar y mitigar amenazas incluso antes de que sean divulgadas públicamente. La explotación proactiva de vulnerabilidades críticas por parte de grupos de ransomware obliga a las empresas a fortalecer sus procesos de parcheo, monitorización y respuesta ante incidentes. El sector debe avanzar hacia una mayor colaboración y compartir inteligencia en tiempo real para minimizar la ventana de exposición ante ataques de día cero.

(Fuente: www.darkreading.com)