EDR NEWS te informa: China-linked hackers exploit insecure setting in Cisco security products

Escuche el articulo
2 minutos

Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.

Los piratas informáticos vinculados a China han estado utilizando productos de seguridad de Cisco mal configurados para implementar puertas traseras en las redes objetivo durante al menos las últimas semanas.

El grupo de hackers, al que Cisco rastrea como UAT-9686, ha estado aprovechando una configuración insegura en el software AsyncOS de Cisco, que impulsa los dispositivos de seguridad web y de correo electrónico y las plataformas virtuales de la compañía, dijo Cisco en una publicación de blog y un aviso de seguridad.

AsyncOS permite a los usuarios habilitar una función de cuarentena de spam y hacerla accesible a través de Internet. Esa configuración no es la predeterminada, pero los usuarios que la cambian manualmente corren el riesgo de exponer sus dispositivos a intrusiones.

«Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado», dijo Cisco.

Después de irrumpir en las redes de las víctimas, los piratas informáticos vinculados a China instalan una puerta trasera de Python llamada AquaShell que escucha y ejecuta sus comandos. Cisco también identificó otras herramientas utilizadas en la campaña, incluidas dos herramientas de túnel que los piratas informáticos utilizan para mantener sus conexiones con las máquinas víctimas y una herramienta de limpieza de registros, denominada AquaPurge, que borra la evidencia de la actividad de los piratas informáticos.

Cisco dijo que la campaña «ha estado en curso desde al menos finales de noviembre», y la compañía la descubrió el 10 de diciembre.

La compañía atribuyó la operación al UAT-9686 basándose en el uso de herramientas por parte de los piratas informáticos que también han aparecido en ataques de otros grupos notables vinculados a China. Además, dijo Cisco, «la táctica de utilizar un implante basado en web hecho a medida, como AquaShell, está siendo adoptada cada vez más por APT altamente sofisticadas del nexo chino».