Los delincuentes informáticos chinos
Salt Typhoon
siguen activos en todo el mundo y han vulnerado la seguridad de más
proveedores de telecomunicaciones estadounidenses a través de dispositivos de
red Cisco IOS XE sin parches.
El grupo de ciberespionaje chino Salt Typhoon (también conocido como
FamousSparrow, Ghost Emperor, Earth Estries y UNC2286) ha estado vulnerando
los datos de empresas de telecomunicaciones y entidades gubernamentales desde
al menos 2019.
La división de investigación de amenazas
Insikt Group de Recorded Future afirma [PDF] que el grupo de delincuentes informáticos chino (rastreado Salt
Typhoon y RedMike) ha explotado las vulnerabilidades de escalamiento de
privilegios
CVE-2023-20198
y de inyección de comandos en la interfaz de usuario web
CVE-2023-20273.
Estos ataques en curso ya han provocado vulneraciones de la red en varios
proveedores de telecomunicaciones, incluido un proveedor de servicios de
Internet (ISP) estadounidense, una filial estadounidense de un proveedor de
telecomunicaciones del Reino Unido, un proveedor de telecomunicaciones
sudafricano, un ISP italiano y un gran proveedor de telecomunicaciones de
Tailandia.
Los investigadores de amenazas afirmaron que han detectado dispositivos Cisco
comprometidos y reconfigurados en sus redes, que se comunican con servidores
controlados por Salt Typhoon a través de túneles de encapsulación de
enrutamiento genérico (GRE) para un acceso persistente.
Entre diciembre de 2024 y enero de 2025, Salt Typhoon atacó más de 1.000
dispositivos de red Cisco, más de la mitad de ellos en Estados Unidos,
Sudamérica e India.
«Utilizando datos de escaneo de Internet, Insikt Group identificó más de
12.000 dispositivos de red Cisco con sus interfaces web expuestas a
Internet».
Aunque más de 1.000 dispositivos Cisco fueron atacados, Insikt Group considera
que es probable que esta actividad estuviera focalizada, dado que esta cifra
solo representa el 8% de los dispositivos expuestos y que RedMike realizó una
actividad de reconocimiento periódica, seleccionando dispositivos vinculados a
proveedores de telecomunicaciones.
Hace dos años, las dos vulnerabilidades
se explotaron en ataques Zero-Day
que
comprometieron más de 50.000 dispositivos Cisco IOS XE, lo que permitió la
implementación de malware de puerta trasera
a través de cuentas privilegiadas no autorizadas. Según un
aviso de noviembre de Five Eyes, estas fallas de seguridad se encontraban entre las cuatro principales
explotadas con mayor frecuencia en 2023.
Iniskt Group aconseja a los administradores de red que operan dispositivos
de red Cisco IOS XE expuestos a Internet que apliquen los parches de
seguridad disponibles lo antes posible y eviten exponer las interfaces de
administración o los servicios no esenciales directamente a Internet.
«Hasta la fecha, no hemos podido validar estas afirmaciones, pero seguimos
revisando los datos disponibles. En 2023, emitimos un aviso de seguridad que
revela estas vulnerabilidades junto con una guía para que los clientes
apliquen urgentemente la solución de software disponible»,
dijo un portavoz de Cisco a BleepingComputer.
Estas infracciones forman parte de una campaña más amplia
confirmada por el FBI
y la CISA en octubre. En estos ataques, los delincuentes informáticos
estatales chinos
vulneraron
los datos de múltiples operadores de telecomunicaciones estadounidenses (entre
ellos AT&T, Verizon, Lumen, Charter Communications, Consolidated
Communications y Windstream) y de empresas de telecomunicaciones en
docenas de otros países.
Si bien tenían acceso a las redes de telecomunicaciones estadounidenses,
comprometieron las «comunicaciones privadas» de un «número limitado» de
funcionarios del gobierno estadounidense y
accedieron a la plataforma de escuchas telefónicas
de las fuerzas del orden de Estados Unidos.
Fuente: BleepingComputer