La agencia de ciberdefensa estadounidense CISA emitió el jueves una
directiva operativa
que
obliga a las agencias federales a «retirar cualquier dispositivo de
hardware y software que ya no cuente con el soporte técnico de su fabricante
original».
«Los dispositivos sin soporte técnico representan un grave riesgo para los
sistemas federales y nunca deben permanecer en las redes empresariales», declaró Madhu Gottumukkala, director interino de la Agencia de
Ciberseguridad y Seguridad de Infraestructura (CISA).
La CISA indicó que los cibercriminales explotan cada vez más los dispositivos
periféricos que ya no reciben actualizaciones de firmware ni otros
parches de seguridad. Estos dispositivos —que incluyen balanceadores de carga,
firewalls, routers, switches, puntos de acceso inalámbricos, dispositivos de
seguridad de red, dispositivos periféricos del Internet de las cosas (IoT) y
más— son
«especialmente vulnerables a los cibercriminales persistentes que explotan
una vulnerabilidad nueva o conocida».
Nick Andersen, subdirector ejecutivo de Ciberseguridad de CISA, declaró a la
prensa durante una rueda de prensa que
«los atacantes que atacan dispositivos periféricos incluyen aquellos con
vínculos con estados-nación». Se negó a identificar los países involucrados ni a explicar los incidentes
específicos que motivaron la directiva.
«Esto no responde a ningún incidente o vulnerabilidad en particular, sino a
un reconocimiento de que los dispositivos sin soporte representan un grave
riesgo para los sistemas federales», explicó.
Las agencias civiles federales tendrán tres meses para proporcionar a CISA
un inventario de todos los dispositivos en sus redes que figuran en una
lista de dispositivos al final de su vida útil.
Después de un año, todos los dispositivos identificados deberán ser
desmantelados y, en un plazo de dos años, se deberá crear un proceso para la
detección continua de todos los dispositivos periféricos que puedan estar al
final de su vida útil. Las agencias federales también deben actualizar todos
los dispositivos y reemplazar los que estén al final de su vida útil por
dispositivos que puedan recibir actualizaciones de seguridad.
CISA creó una lista de dispositivos perimetrales en estado EOL que contiene
información sobre los dispositivos que ya están al final de su vida útil o que
lo estarán en los próximos meses. La CISA afirmó que no publicaría la lista de
dispositivos al final de su vida útil. «Una buena higiene cibernética comienza con la eliminación de los
dispositivos periféricos sin soporte», afirmó Andersen.
Los dispositivos periféricos han sido durante mucho tiempo el punto de entrada
preferido por los atacantes que buscan acceder a las redes, y actores
estatales de China y Rusia han lanzado múltiples campañas dirigidas
específicamente a dispositivos de empresas como Barracuda, Ivanti, Fortinet y
otras.
Los dispositivos periféricos son objetivos atractivos debido a su amplio
alcance en la red de una organización y a su integración con los sistemas de
gestión de identidades. Estos dispositivos son especialmente vulnerables a
ataques cibernéticos dirigidos a vulnerabilidades recién descubiertas y sin
parchear.
Fuente:
TheRecord