AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Ciberdelincuentes aprovechan la vulnerabilidad CVE-2025-20352 en dispositivos Cisco para instalar rootkits persistentes

admin

#### Introducción

En las últimas semanas, diversos equipos de respuesta a incidentes han alertado sobre una campaña activa que explota la vulnerabilidad crítica recientemente parcheada, identificada como CVE-2025-20352, en dispositivos de red Cisco sin protección o sin actualizar. Los atacantes están utilizando este fallo de ejecución remota de código (RCE) para desplegar rootkits en sistemas Linux, logrando así un acceso persistente y sigiloso a infraestructuras empresariales. Este incidente representa una amenaza significativa para la integridad, confidencialidad y disponibilidad de los entornos corporativos, especialmente en organizaciones que aún mantienen equipos legacy o con políticas de parcheo laxas.

#### Contexto del Incidente

El fallo CVE-2025-20352 afecta a una amplia gama de dispositivos de red Cisco, incluidos routers y switches de las series Catalyst 9000 y algunos modelos más antiguos que siguen en producción en entornos críticos. La vulnerabilidad fue reportada y parcheada por Cisco a finales de mayo de 2024, pero muchas organizaciones no han aplicado aún la actualización, exponiendo sus infraestructuras a ataques dirigidos. El exploit ha sido detectado en campañas dirigidas principalmente a empresas de servicios, operadores de telecomunicaciones y entidades gubernamentales de la UE y Estados Unidos.

Según datos publicados por Cisco Talos y corroborados por el CERT europeo, aproximadamente un 18% de los dispositivos potencialmente afectados continúan expuestos en entornos productivos, lo que representa una superficie de ataque considerable.

#### Detalles Técnicos

La vulnerabilidad CVE-2025-20352 permite a un atacante remoto ejecutar código arbitrario en el sistema afectado, sin necesidad de autenticación previa, mediante la manipulación de paquetes especialmente diseñados dirigidos al servicio de administración remota de los dispositivos.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **Vector de acceso inicial:** Explotación de vulnerabilidad de red (T1190)
– **Ejecución:** Comandos remotos a través de scripts bash (T1059.004)
– **Persistencia:** Instalación de rootkits y modificación de binarios del sistema (T1547.006)
– **Evasión de defensa:** Ocultación de procesos y manipulación de logs (T1562.001)
– **Exfiltración:** Uso de túneles SSH inversos y canales encubiertos (T1048)

El rootkit identificado, que comparte similitudes con variantes conocidas como Diamorphine y Reptile, se despliega tras el acceso inicial y modifica el kernel del sistema Linux embebido, permitiendo ocultar procesos, archivos y conexiones de red. Investigadores han identificado artefactos como `/lib/modules/hidden.ko` y binarios maliciosos persistentes en `/usr/bin/sshd` falsos.

Se ha detectado el uso de frameworks como Metasploit y Cobalt Strike para la fase de post-explotación, además de herramientas personalizadas para mantener el acceso y moverse lateralmente en la red.

**Indicadores de compromiso (IoC):**
– Hashes SHA256 de binarios modificados
– Conexiones salientes no autorizadas a servidores C2 en direcciones IP asociadas a ASNs de Europa del Este
– Archivos ocultos y modificación de reglas de iptables

#### Impacto y Riesgos

La explotación exitosa de CVE-2025-20352 permite a los atacantes tomar el control total del dispositivo afectado, interceptar, modificar o redirigir tráfico de red y pivotar hacia otros sistemas internos. La instalación de rootkits complica la detección y erradicación del compromiso, aumentando el riesgo de ataques sostenidos como el espionaje industrial, robo de credenciales, filtración de datos sensibles y denegación de servicio.

El impacto potencial incluye la violación de normativas como el RGPD (GDPR) y la Directiva NIS2, con sanciones que pueden superar los 10 millones de euros o el 2% de la facturación anual, según la jurisdicción y la gravedad del incidente.

#### Medidas de Mitigación y Recomendaciones

– **Aplicación inmediata de parches:** Instalar las actualizaciones de seguridad publicadas por Cisco para todos los dispositivos afectados.
– **Auditoría de integridad:** Utilizar herramientas de análisis forense para detectar binarios modificados y rootkits en los sistemas.
– **Segmentación de red:** Limitar el acceso a interfaces de administración y emplear firewalls para bloquear el tráfico no autorizado.
– **Monitorización proactiva:** Desplegar sistemas de detección de intrusiones (IDS/IPS) y correlación de logs para identificar actividad anómala.
– **Revisión de credenciales:** Cambiar todas las contraseñas de administración tras la remediación.
– **Pruebas de pentesting recurrentes:** Simular ataques dirigidos para validar la efectividad de las medidas implementadas.

#### Opinión de Expertos

Analistas de varias firmas de ciberseguridad coinciden en que la rápida explotación de vulnerabilidades recientemente divulgadas, como la CVE-2025-20352, evidencia la profesionalización del cibercrimen. «El uso de rootkits en dispositivos de red supone una amenaza de primer nivel, ya que estos equipos suelen tener visibilidad limitada para las soluciones EDR tradicionales», señala Juan Luis García, CISO de una multinacional española. Además, expertos en respuesta a incidentes advierten sobre el incremento de ataques dirigidos a infraestructuras OT y dispositivos IoT basados en Linux, por su bajo nivel de protección y criticidad en operaciones industriales.

#### Implicaciones para Empresas y Usuarios

Las organizaciones que no mantengan una política estricta de gestión de vulnerabilidades y actualización de firmware se exponen a riesgos operativos y legales considerables. La falta de visibilidad y monitorización en equipos legacy facilita la permanencia de los atacantes durante largos periodos. Para los usuarios finales, existe el riesgo de que sus comunicaciones sean interceptadas o manipuladas, afectando la privacidad y la integridad de los servicios.

#### Conclusiones

El caso de la CVE-2025-20352 es un recordatorio crítico de la importancia de la gestión proactiva de vulnerabilidades, especialmente en dispositivos de red que forman la columna vertebral de las infraestructuras TI/OT. La sofisticación de las amenazas y la rapidez de explotación subrayan la necesidad de combinar tecnologías de defensa avanzadas, procesos de respuesta ágiles y una cultura organizacional orientada a la resiliencia cibernética.

(Fuente: www.bleepingcomputer.com)