AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ataques coordinados explotan vulnerabilidades en Cisco, Fortinet y Palo Alto desde infraestructura común

admin

#### Introducción

En las últimas semanas, se ha detectado una campaña de ataques altamente coordinada dirigida contra dispositivos de red de tres de los principales fabricantes del sector: Cisco, Fortinet y Palo Alto Networks. Según un informe reciente de GreyNoise, los atacantes están explotando vulnerabilidades conocidas en estos dispositivos, utilizando la misma infraestructura de origen para lanzar los ataques de manera simultánea, lo que sugiere una planificación estratégica y una sofisticación técnica significativa. Este artículo analiza en profundidad los detalles técnicos de la campaña, el impacto potencial para las organizaciones y las mejores prácticas para mitigar estos riesgos.

#### Contexto del Incidente

La campaña, identificada a mediados de junio de 2024, destaca por la convergencia de los vectores de ataque y la reutilización de infraestructura maliciosa para comprometer dispositivos de diferentes fabricantes. Los dispositivos afectados suelen formar parte de la primera línea de defensa perimetral en redes corporativas, gestionando tráfico de red sensible y facilitando el acceso remoto seguro. Las vulnerabilidades explotadas ya habían sido documentadas previamente y cuentan con identificadores CVE asignados, pero la novedad reside en la ejecución paralela de los ataques y la coordinación entre los distintos objetivos.

GreyNoise ha identificado patrones de tráfico sospechoso e indicadores de compromiso (IoC) que apuntan a IPs y dominios comunes desde los que se orquestan los ataques. Este enfoque multi-fabricante incrementa considerablemente la superficie de ataque y dificulta las labores de contención y atribución para los equipos de respuesta a incidentes.

#### Detalles Técnicos

Las vulnerabilidades explotadas en esta campaña son de alta criticidad y afectan a versiones específicas de los productos de cada fabricante:

– **Cisco ASA/FTD:** CVE-2024-20353, una vulnerabilidad de ejecución remota de código (RCE) en el servicio de VPN SSL, presente en versiones anteriores a 9.16.4.34.
– **Fortinet FortiOS:** CVE-2024-21762, vulnerabilidad de RCE a través del servicio web, afecta a FortiOS versiones 7.2.0 a 7.2.4 y 7.0.0 a 7.0.11, explotada activamente desde febrero de 2024.
– **Palo Alto Networks PAN-OS:** CVE-2024-3400, vulnerabilidad de command injection en GlobalProtect, afecta a PAN-OS 10.2, 11.0 y 11.1 sin los últimos parches de seguridad.

Los atacantes emplean técnicas de explotación automatizada, utilizando scripts personalizados y herramientas como Metasploit para la explotación inicial, y frameworks como Cobalt Strike para la post-explotación y movimiento lateral. El mapeo de TTPs (Tactics, Techniques and Procedures) sugiere la utilización de técnicas MITRE ATT&CK como:

– **Initial Access:** Exploitation of Public-Facing Application (T1190)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Persistence:** Valid Accounts (T1078)
– **Defense Evasion:** Indicator Removal on Host (T1070)

GreyNoise ha detectado cientos de intentos diarios dirigidos a organizaciones en Europa y América del Norte, con un notable incremento del 35% respecto al mes anterior. Los IoC incluyen direcciones IP y dominios asociados a redes de hosting de Europa del Este y Asia.

#### Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades puede resultar en el acceso no autorizado a la red interna, interceptación de tráfico, robo de credenciales, despliegue de malware avanzado y, en casos extremos, secuestro total de la infraestructura de red. El riesgo es especialmente alto en sectores críticos como sanidad, energía y finanzas, donde la disponibilidad y confidencialidad de los sistemas es prioritaria.

Además, la utilización de la misma infraestructura para atacar múltiples fabricantes facilita la escalabilidad de la campaña y complica la atribución forense. El cumplimiento de normativas como el RGPD o la directiva NIS2 puede verse comprometido ante brechas de datos provocadas por estos ataques.

#### Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad y administradores de sistemas:

1. **Actualizar inmediatamente** todos los dispositivos afectados a las versiones parcheadas más recientes.
2. **Supervisar logs y tráfico** en busca de IoC publicados por GreyNoise y los fabricantes.
3. **Aplicar segmentación de red** para limitar el alcance de un posible compromiso.
4. **Deshabilitar servicios innecesarios** y restringir el acceso a interfaces de administración solo desde redes de confianza.
5. **Implementar sistemas de detección de intrusiones (IDS/IPS)** y activar alertas para patrones de explotación conocidos.
6. **Realizar análisis de vulnerabilidades periódicos** y pruebas de penetración orientadas a dispositivos perimetrales.
7. **Adoptar una estrategia de Zero Trust** en el acceso remoto.

#### Opinión de Expertos

Especialistas en ciberseguridad consultados por SecurityWeek destacan la peligrosidad de la campaña debido a la interdependencia de los dispositivos de red y la criticidad de los servicios comprometidos. “La coordinación de los atacantes y la explotación de múltiples fabricantes en paralelo evidencian la evolución del cibercrimen hacia operaciones más sofisticadas y persistentes”, señala Pablo González, analista de amenazas en Telefónica Tech.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el incidente pone de manifiesto la necesidad de una gestión proactiva del ciclo de vida de los dispositivos de red y una monitorización continua de amenazas emergentes. Los usuarios, especialmente aquellos responsables de infraestructuras críticas o servicios en la nube, deben reforzar sus procedimientos de parcheo y respuesta ante incidentes. El riesgo reputacional y las posibles sanciones regulatorias por brechas de datos subrayan la importancia de una estrategia de seguridad integral y actualizada.

#### Conclusiones

La campaña coordinada que explota vulnerabilidades en Cisco, Fortinet y Palo Alto Networks supone un desafío significativo para la seguridad de las redes corporativas. La rapidez en la aplicación de parches, la monitorización activa y la colaboración entre equipos de seguridad son fundamentales para mitigar el impacto de este tipo de amenazas. El incidente refuerza la necesidad de adoptar un enfoque holístico y proactivo ante la gestión de vulnerabilidades en infraestructuras críticas.

(Fuente: www.securityweek.com)