Este audio se generó automáticamente. Háganos saber si tiene comentario.
La Agencia de Seguridad de Ciberseguridad e Infraestructura ordenó el jueves a las agencias gubernamentales de los Estados Unidos que parcen múltiples vulnerabilidades en los productos de redes de Cisco, diciendo que un «actor de amenaza avanzada» las estaba utilizando en una campaña «generalizada».
«Esta actividad presenta un riesgo significativo para las redes de víctimas», dijo CISA en una directiva de emergencia Eso estableció una línea de tiempo obligatoria para que las agencias identifiquen, analicen y parche los dispositivos vulnerables.
La campaña de piratería: una extensión de la sofisticada operación «Arcanedoor» que Cisco Primero revelado En abril de 2024, ha comprometido múltiples agencias federales, dijeron dos funcionarios estadounidenses a CyberseCurity Dive. Ambos funcionarios solicitaron el anonimato para discutir una investigación sensible y en evolución.
Al menos 10 organizaciones en todo el mundo han sido violadas, dijo un funcionario estadounidense, aunque ese número podría aumentar. El funcionario dijo que todavía había «muchas incógnitas» sobre la campaña.
Un segundo funcionario estadounidense llamó a la campaña como «muy sofisticada» y describió el malware de los piratas informáticos como altamente complejos.
«CISA está profundamente preocupada por esta actividad», dijo el segundo funcionario. «Si las agencias no se ponen de inmediato, podría ser malo para ellas».
Un portavoz de la CISA no hizo comentarios inmediatamente sobre el impacto de los hacks federales.
Firewalls de Cisco en riesgo
Las tres vulnerabilidades: dos críticos (CVE-2025-20333 y CVE-2025-20363) y un medio severidad (CVE-2025-20362) – Afectar a dos familias de firewalls de Cisco: dispositivos de dispositivos de seguridad adaptativos y dispositivos de defensa de amenazas de fuego de fuego que ejecutan el software ASA.
Las agencias gubernamentales se comunicaron con Cisco por primera vez en mayo para solicitar ayuda para investigar las intrusiones, La compañía dijo el jueves. «Se observó que los atacantes habían explotado múltiples vulnerabilidades de día cero y emplearon técnicas de evasión avanzada», dijo Cisco, incluida la manipulación de un programa de software integrado en la memoria de solo lectura de dispositivos «para permitir la persistencia entre reinicios y actualizaciones de software».
Cisco instó a los clientes a actualizar sus dispositivos a nuevas versiones de software que solucionan los defectos y eliminan los puntos de apoyo de los intrusos. Dijo que tenía evidencia de que los piratas informáticos habían usado dos de las tres vulnerabilidades en la campaña actual.
En su directiva de emergencia, CISA destacó la preocupante capacidad de los piratas informáticos para persistir en la memoria de solo lectura y dijo que habían demostrado que la capacidad «al menos tan pronto como 2024».
CISA dio a las agencias hasta el final del viernes para enviar imágenes forenses de dispositivos vulnerables. Después de eso, las agencias deben desconectar permanentemente los dispositivos Cisco ASA cuyo soporte finaliza el 30 de septiembre, actualizar los dispositivos admitidos a un nuevo firmware para fines del viernes e informar a CISA antes de la medianoche del 3 de octubre.
Reino Unido NCSC, CISA Team Up
El Centro Nacional de Seguridad Cibernética del Reino Unido también el jueves organizaciones instadas para actualizar dispositivos vulnerables y Publicado un análisis de dos piezas de malware utilizadas en los ataques.
CISA y el NCSC han «trabajado extremadamente de cerca» en la investigación, dijo el primer funcionario estadounidense, que describió la coordinación como «la colaboración técnica más profunda que he visto con un socio internacional». Estados Unidos aprendió sobre las intrusiones «a través de la industria y los consejos de inteligencia», dijo el funcionario, pero los empleados de NCSC tenían experiencia significativa con la actividad de Arcanedoor.
Cuando Cisco reveló por primera vez la campaña de Arcanedoor, atribuyó los ataques a un actor de amenaza que denominó UAT4356. «Este actor utilizó herramientas a medida que demostraron un enfoque claro en el espionaje y un conocimiento profundo de los dispositivos que atacaron», dijo la compañía, «distintivos de un actor sofisticado patrocinado por el estado».
La nueva campaña es consistente con el comportamiento de ese actor de amenaza, según el primer funcionario estadounidense.
Al revelar Arcanedoor en 2024, Cisco dijo que había visto un «aumento dramático y sostenido» en los esfuerzos para penetrar en sus productos instalados en los perímetros de redes de infraestructura crítica en sectores como energía y telecomunicaciones.
«Como una ruta crítica para los datos dentro y fuera de la red, estos dispositivos deben parchearse de manera rutinaria y de inmediato; utilizando versiones y configuraciones de hardware y software actualizados; y ser monitoreados de cerca desde una perspectiva de seguridad», dijo Cisco. «Obtener un punto de apoyo en estos dispositivos permite a un actor girar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de red».
Fuente