VOLVER A NOTICIAS
Última Hora

Cisco Corrige Vulnerabilidad Crítica Explotada por Grupo APT Chino en Ataques Reales

2 min de lecturaFuente: SecurityWeek

Cisco lanza parches para una vulnerabilidad crítica (CVE-2024-20399) explotada activamente por el grupo APT chino UAT-9686 para desplegar el backdoor AquaShell.

Cisco Aborda Zero-Day Explotado por Actor de Amenazas Chino

Cisco ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad crítica (CVE-2024-20399) que fue explotada activamente en ataques reales por un grupo chino de amenazas persistentes avanzadas (APT) identificado como UAT-9686. La falla fue utilizada para desplegar el backdoor AquaShell en dispositivos Cisco vulnerables con puertos específicos expuestos a Internet.

Detalles Técnicos

La vulnerabilidad, registrada como CVE-2024-20399, afecta a dispositivos Cisco que ejecutan versiones vulnerables de su software. Aunque Cisco no ha revelado todos los detalles técnicos, la falla fue explotada para obtener acceso no autorizado y ejecutar comandos arbitrarios. Posteriormente, se desplegó el backdoor AquaShell, un malware ligero, para mantener persistencia y facilitar una mayor compromiso del sistema.

El vector de ataque requería que ciertos puertos estuvieran expuestos a Internet, lo que destaca los riesgos de una segmentación de red inadecuada y defensas perimetrales mal configuradas.

Análisis de Impacto

La explotación de CVE-2024-20399 por parte de UAT-9686 subraya la amenaza continua que representan los actores patrocinados por estados que atacan la infraestructura de red. El backdoor AquaShell permite a los actores de amenazas:

  • Ejecutar comandos remotos en sistemas comprometidos
  • Exfiltrar datos sensibles
  • Establecer un punto de apoyo para el movimiento lateral dentro de las redes

Dado el uso generalizado de dispositivos Cisco en entornos empresariales y gubernamentales, la vulnerabilidad representa un riesgo significativo para las organizaciones con dispositivos expuestos.

Recomendaciones

Cisco ha instado a sus clientes a aplicar inmediatamente los parches disponibles para mitigar el riesgo de explotación. Los equipos de seguridad también deben:

  • Auditar las configuraciones de red para garantizar que ningún puerto innecesario esté expuesto a Internet
  • Monitorear signos de compromiso, incluyendo ejecuciones de comandos inusuales o tráfico de red sospechoso
  • Revisar registros en busca de indicadores de actividad de AquaShell, como ejecuciones de procesos anómalos o conexiones a servidores conocidos de comando y control (C2)

Se recomienda a las organizaciones seguir el aviso de seguridad de Cisco para obtener instrucciones detalladas de aplicación de parches y orientación adicional sobre mitigación.

Para un análisis más detallado, consulte el informe original de SecurityWeek.

Compartir

TwitterLinkedIn