Los actores de amenaza vinculados al gobierno ruso se están retirando de una vulnerabilidad de siete años en el equipo de Cisco que se descubrió por primera vez en 2018, según una nueva advertencia del FBI. El defecto en cuestión, rastreado como CVE-2018-0171, existe en la función Smart Install (SMI) del Sistema Operativo Internetwork de Cisco (iOS) e iOS XE. Surge a través de la validación inadecuada de los datos de paquetes y se explota enviando un mensaje de instalación inteligente especialmente elaborado a un dispositivo vulnerable en el puerto TCP 4786. Si no se deja eclipsado, permite un atacante remoto no autorenticado para lograr una condición de denegación de servicio (DOS), o realizar una ejecución de código remoto (RCE). El año pasado, los federales dijeron que habían detectado a los actores de amenazas que recopilaban archivos de configuración para miles de dispositivos de red de fin de vida vulnerables a CVE-2018-0171, que según él todavía están en uso en múltiples operadores de infraestructura nacional crítica (CNI) en los Estados Unidos. «En algunos dispositivos vulnerables, los actores modificaron archivos de configuración para habilitar el acceso no autorizado a esos dispositivos», dijo el FBI en un comunicado. «Los actores utilizaron el acceso no autorizado para realizar un reconocimiento en las redes de víctimas, lo que reveló su interés en protocolos y aplicaciones comúnmente asociadas con los sistemas de control industrial». Beserk Bear Las autoridades estadounidenses dijeron que la unidad que dirigía la actual ola de intrusiones era probablemente Beserk Bear, también conocida como Dragonfly, una unidad cibernética del Servicio de Seguridad Federal de Rusia, el FSB, que se sabe que tiene dispositivos de redes dirigidos a los dispositivos de redes dirigidos, particularmente aquellos que aceptan protocolos heredados, y habían trabajado previamente en malwares personalizados que específicamente dirigidos a los productos cisco, nota a una cepa que se refiere a una cepa de cepa a la cepa de cepa. Los investigadores de Cisco Talos Sara McBroom y Brandon White dijeron que Cisco había observado a Beserk Bear, la tundra estática en su lenguaje, actuando contra los productos de Cisco desde al menos 2015, e instó a los usuarios a parchar contra CVE-2018-0171 como una cuestión de urgencia. «Se insta a los clientes a aplicar el parche inmediatamente dada la explotación activa y continua de la vulnerabilidad … los dispositivos que están más allá del final de la vida y no pueden soportar el parche requieren precauciones de seguridad adicionales como se detalla en el aviso de seguridad de 2018. Los dispositivos no parpadeados con instalación inteligente habilitada continuarán siendo vulnerables a estos y otros ataques a menos que y hasta que los clientes tomen medidas», dijeron, dijeron. McBroom y White también señalaron que la orientación del actor de amenaza se extiende más allá de los Estados Unidos y América del Norte, con objetivos principales que incluyen organizaciones en los sectores de educación superior, fabricación y telecomunicaciones en Asia, África y Europa. Las víctimas de Beserk Bear parecen ser seleccionadas en función de su valor estratégico para los objetivos geopolíticos e de inteligencia del gobierno ruso, agregaron. “We assess that Static Tundra’s two primary operational objectives are, one, compromising network devices to gather sensitive device configuration information that can be leveraged to support future operations, and two, establishing persistent access to network environments to support long-term espionage in alignment with Russian strategic interests. “Because of the large global presence of Cisco network infrastructure and the potential access it affords, the group focuses heavily on the exploitation of these dispositivos y posiblemente también el desarrollo de herramientas para interactuar y persistir en estos dispositivos ”, advirtió McBroom y White.