Campaña de ciberataques contra diversos modelos de enrutadores Cisco

Los ataques comenzaron dos días después de que la compañía corrigió algunas vulnerabilidades

Una vulnerabilidad crítica en diversos modelos de enrutadores fue solucionada recientemente por Cisco. Sin embargo, acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, sólo dos días después de que las correcciones fueran implementadas, grupos de hackers comenzaron a realizar escaneos y lanzar ataques para explotar la vulnerabilidad y tomar control de equipos no actualizados.

La vulnerabilidad CVE-2019-1663 ganó notoriedad después de ser revelada al público durante la última semana de febrero, recibiendo un puntaje de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS).

Acorde a los expertos en seguridad en redes, la vulnerabilidad recibió un puntaje tan alto debido a su facilidad de explotación y a que no se requieren habilidades de codificación avanzadas. Además el error esquiva todo el proceso de autenticación y un enrutador puede ser atacado de forma remota.

Entre los modelos de enrutador afectados están el RV110, RV130 y RV215, de Cisco, principalmente utilizados en hogares y pequeñas empresas. Es por eso que los usuarios de estos equipos se encuentran poco familiarizados con las políticas de actualización de estos dispositivos, por lo que es normal que los hackers encontraran equipos vulnerables aún después de que Cisco corrigiera el error. Acorde a expertos en seguridad en redes, hay alrededor de 12 mil de estos dispositivos, además es posible encontrarlos con herramientas como Shodan muy fácilmente.

Algunos miembros de la comunidad de la ciberseguridad afirman que esta vulnerabilidad fue originada por un descuido de los codificadores de Cisco, que usaron una función considerada insegura (conocida como string copy).

Los expertos explicaron que el uso de esta función provocó que el mecanismo de autenticación de los enrutadores quedara expuesto a un desbordamiento de búfer, gracias a esto los atacantes inyectaron comandos que ejecutaron con privilegios de administrador durante el proceso de autenticación. Los fabricantes recomiendan a los usuarios de estos dispositivos aplicar las actualizaciones tan pronto como sea posible. Si un usuario cree que su enrutador podría haber sido comprometido, lo más recomendable es actualizar el firmware, mencionan los expertos.

(Visited 303,1 times)