Por Naveen Athrappully
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una directiva de emergencia pidiendo a las agencias federales que tomen medidas inmediatas para identificar y mitigar las vulnerabilidades del sistema para proteger sus dispositivos de una importante campaña de piratería, dijo la agencia en un comunicado del 25 de septiembre.
«Esta campaña generalizada plantea un riesgo significativo para las redes de las víctimas al explotar vulnerabilidades de día cero que persisten durante reinicios y actualizaciones del sistema», dijo CISA.
Las vulnerabilidades de día cero se refieren a fallas de seguridad desconocidas o no abordadas en el hardware, firmware o software de la computadora. Estas vulnerabilidades se denominan «día cero», ya que el software o dispositivo con tales fallas no tiene días para solucionar el problema, lo que permite a los piratas informáticos explotarlas inmediatamente.
Según la directiva, Cisco ha evaluado que la campaña de piratería está vinculada al actor de amenazas ArcaneDoor.
Una publicación de mayo de 2024 de la empresa de seguridad informática y de redes Censys decía que una investigación de las IP controladas por ArcaneDoor sugería «la posible participación de un actor con sede en China, incluidos enlaces a múltiples redes chinas importantes y la presencia de software anticensura desarrollado en China».
Se descubrió que cuatro de cada cinco hosts IP analizados por Censys estaban en China, y algunos estaban vinculados al conglomerado chino Tencent y a la empresa china de telecomunicaciones ChinaNet.
«Redes como Tencent y ChinaNet tienen amplio alcance y recursos, por lo que tendrían sentido como opción de infraestructura para una operación global sofisticada como ésta», dijo Censys en su publicación.
En una declaración del 25 de septiembre, Cisco dijo que varias agencias gubernamentales lo habían contratado en mayo para brindar apoyo a una investigación sobre ataques dirigidos a los dispositivos ASA de la compañía.
La compañía dijo que tiene «alta confianza» en que la actividad de piratería estaba relacionada con ArcaneDoor.
«Cisco evalúa con gran confianza que la actualización a una versión de software fija romperá la cadena de ataque del actor de amenazas y recomienda encarecidamente que todos los clientes actualicen a versiones de software fijas», dijo la compañía.
La directiva CISA se produce cuando Chris Butera, subdirector ejecutivo interino para cibernética de la agencia, habló sobre cómo ayudar a las organizaciones a abordar el creciente número de vulnerabilidades durante una mesa redonda el 25 de septiembre celebrada por la empresa de medios FedScoop.
Butera analizó el catálogo de vulnerabilidades explotadas conocidas (KEV) que CISA utiliza para priorizar las vulnerabilidades del sistema que requieren parches.
«El número de vulnerabilidades que se han publicado aumentó a más de 40.000 el año pasado. Por lo tanto, para cualquier organización intentar rastrear y parchear 40.000 vulnerabilidades diferentes dentro de su ecosistema de TI es un desafío muy complejo», afirmó.
“Tenemos que hacer mucho más con la automatización, y creo que ahí es donde tal vez la IA pueda entrar y ayudar con algunas de las piezas de la automatización.
«En el ámbito federal, hemos obtenido excelentes resultados: más del 99 por ciento de los KEV conectados a Internet han sido parcheados rápidamente por nuestras agencias federales».
Explotación de dispositivos CISCO
La directiva de emergencia de CISA se emitió debido a que el actor de amenazas apuntaba a Cisco Adaptive Security Appliances (ASA).
Cisco ASA es una familia de dispositivos de seguridad firewall que ofrece a los usuarios «acceso altamente seguro a datos y recursos de red», según el sitio web de Cisco. Las vulnerabilidades en los dispositivos ASA pueden permitir que actores malintencionados accedan a los datos de los usuarios.
En la directiva, CISA pidió a las agencias federales que contabilizaran todos los dispositivos Cisco ASA y Firepower, recopilaran datos forenses y analizaran cualquier compromiso utilizando procedimientos y herramientas proporcionados por CISA.
Las agencias deben “desconectar los dispositivos al final del soporte y actualizar aquellos que permanecerán en servicio antes de las 11:59 p. m. EST del 26 de septiembre de 2025”, según el comunicado.
Los dispositivos cuyo soporte finaliza son aquellos que las agencias continúan utilizando pero que ya no reciben soporte directo ni actualizaciones de seguridad de sus fabricantes.
«Como líder en ciberseguridad federal, CISA está ordenando a las agencias federales que tomen medidas inmediatas debido a la alarmante facilidad con la que un actor de amenazas puede explotar estas vulnerabilidades, mantener la persistencia en el dispositivo y obtener acceso a la red de una víctima», dijo el director interino de CISA, Madhu Gottumukkala.
«Los mismos riesgos se aplican a cualquier organización que utilice estos dispositivos. Instamos encarecidamente a todas las entidades a adoptar las acciones descritas en esta Directiva de Emergencia».
Según la directiva, las agencias deben informar a CISA un inventario completo de todos los productos afectados, incluidos detalles sobre las acciones tomadas y los resultados de dichas acciones. Esto debe hacerse antes del 2 de octubre.
Esta es la segunda directiva de emergencia emitida bajo la administración Trump, dijo CISA. En agosto, la agencia emitió una directiva de emergencia para que las agencias actualizaran sus sistemas para evitar vulnerabilidades en Microsoft Exchange.
