### Interlock explota una vulnerabilidad crítica de ejecución remota en Cisco FMC en ataques dirigidos
#### Introducción
A finales de enero de 2024, el grupo de ransomware Interlock ha estado explotando de manera activa una vulnerabilidad crítica de ejecución remota de código (RCE) en el software Secure Firewall Management Center (FMC) de Cisco. Se trata de un zero-day que ha permitido a los atacantes comprometer infraestructuras de seguridad en múltiples organizaciones, poniendo en jaque la integridad de sus redes y sistemas críticos. Este incidente subraya la creciente sofisticación de los grupos de ransomware y la importancia de mantener una postura de ciberseguridad proactiva y actualizada.
#### Contexto del Incidente o Vulnerabilidad
El software Cisco Secure Firewall Management Center es un componente esencial en la administración centralizada de políticas de seguridad y monitorización de eventos en redes empresariales. Desde finales de enero, se ha detectado que Interlock, un grupo de ransomware conocido por su enfoque en ataques dirigidos y extorsión doble, ha estado explotando una vulnerabilidad catalogada como crítica (CVSS 10.0) en FMC. Las primeras evidencias de explotación se remontan a la última semana de enero, y los ataques se han dirigido principalmente a entidades del sector financiero, tecnológico y de infraestructuras críticas en Europa y América del Norte.
#### Detalles Técnicos
La vulnerabilidad, identificada como **CVE-2024-20353**, afecta a las versiones de Cisco FMC anteriores a la 7.4.0. La falla reside en la gestión inadecuada de las solicitudes HTTP en el portal de administración, permitiendo a un atacante remoto no autenticado ejecutar código arbitrario con privilegios de root en el sistema subyacente.
##### Vectores de ataque y TTPs
Los atacantes aprovechan la exposición pública de la interfaz de administración de FMC, enviando peticiones HTTP especialmente diseñadas para desencadenar la ejecución remota de código. Según el framework MITRE ATT&CK, los TTPs identificados incluyen:
– **Initial Access**: Exploit Public-Facing Application (T1190)
– **Execution**: Command and Scripting Interpreter (T1059)
– **Privilege Escalation**: Exploitation for Privilege Escalation (T1068)
– **Lateral Movement**: Remote Services (T1021)
– **Defense Evasion**: Indicator Removal on Host (T1070)
Se han identificado múltiples indicadores de compromiso (IoC), entre los que destacan direcciones IP de origen asociadas a nodos de Tor y la utilización de herramientas como **Metasploit** para automatizar la explotación y el posterior movimiento lateral mediante SSH y RDP.
##### Exploits conocidos
En foros clandestinos y canales de Telegram asociados a la comunidad de ransomware, circulan exploits funcionales para CVE-2024-20353, algunos integrados ya en frameworks como Metasploit y Cobalt Strike, lo que facilita la explotación masiva y el desarrollo de ataques automatizados.
#### Impacto y Riesgos
El impacto de la explotación de CVE-2024-20353 es crítico. Un atacante con éxito puede obtener control total sobre el FMC, lo que le permite:
– Modificar o desactivar políticas de seguridad.
– Eliminar registros y evidencias forenses.
– Lateralizar el ataque a otros sistemas protegidos por el firewall.
– Implementar ransomware y exfiltrar datos sensibles.
Se estima que hasta un 9% de las instalaciones globales de FMC expuestas públicamente pueden haber sido escaneadas o atacadas en las últimas semanas. El coste económico potencial, considerando rescates y horas de recuperación, se estima en decenas de millones de euros, sin contar el impacto en la reputación y posibles sanciones regulatorias bajo normativas como el **GDPR** y la futura **Directiva NIS2**.
#### Medidas de Mitigación y Recomendaciones
Cisco ha publicado parches de seguridad para las versiones afectadas y recomienda actualizar **urgentemente** a la versión 7.4.0 o superior. Los equipos de seguridad deben:
– Comprobar la exposición del FMC en Internet y limitar el acceso únicamente a redes internas y de administración segura.
– Monitorizar logs en busca de accesos y patrones anómalos asociados a los IoC publicados por Cisco y analistas independientes.
– Implementar segmentación de redes y autenticación multifactor en accesos administrativos.
– Revisar y reforzar la política de copias de seguridad offline para minimizar el impacto de un potencial cifrado por ransomware.
#### Opinión de Expertos
Investigadores de seguridad de empresas como Mandiant y NCC Group subrayan que la explotación de zero-days en dispositivos de seguridad está en auge, dada la visibilidad y el control que otorgan estos sistemas. “Este incidente vuelve a poner en evidencia que los dispositivos de seguridad, tradicionalmente considerados como bastiones, no están exentos de vulnerabilidades críticas y requieren una vigilancia constante”, afirma David Martínez, analista senior de amenazas.
#### Implicaciones para Empresas y Usuarios
Para las organizaciones, este incidente es un recordatorio de la necesidad de mantener inventarios actualizados de activos y aplicar parches de seguridad con la máxima celeridad. La exposición de interfaces administrativas a Internet sigue siendo un vector de riesgo crítico. A nivel legal, una brecha de este tipo puede desencadenar notificaciones obligatorias ante la AEPD y sanciones severas bajo GDPR, así como obligaciones adicionales bajo NIS2 para sectores esenciales.
#### Conclusiones
La campaña de ransomware llevada a cabo por Interlock mediante la explotación de CVE-2024-20353 en Cisco FMC ilustra la creciente sofisticación de las amenazas y la importancia de la gestión proactiva de vulnerabilidades. La colaboración entre fabricantes, CERTs y equipos de respuesta es clave para minimizar el tiempo de exposición y el impacto de este tipo de ataques. Es imperativo que los responsables de ciberseguridad adopten un enfoque integral y anticipado en la protección de infraestructuras críticas.
(Fuente: www.bleepingcomputer.com)