Cisco confirma que Salt Typhoon aprovechó la vulnerabilidad CVE-2018-0171 para atacar redes de telecomunicaciones de EE. UU.

Por Mura en Seguridad informática

Traducir a:

Cisco ha confirmado oficialmente que el actor de amenazas patrocinado por el estado chino conocido como Salt Typhoon se infiltró con éxito en las redes de telecomunicaciones de EE. UU. explotando una vulnerabilidad conocida, CVE-2018-0171. Esta falla de seguridad, combinada con el uso de credenciales de inicio de sesión robadas, permitió a los atacantes mantener un acceso a largo plazo a los entornos comprometidos; una instancia duró más de tres años.

Según Cisco Talos, las operaciones de Salt Typhoon muestran un alto nivel de sofisticación, coordinación y paciencia, rasgos comunes de los grupos de amenazas persistentes avanzadas (APT). La campaña subraya los riesgos actuales que plantean los actores de los estados-nación que se infiltran estratégicamente en la infraestructura crítica para establecer puntos de apoyo profundos y persistentes.

Tabla de contenido

Una campaña de ciberespionaje a largo plazo y altamente coordinada

La capacidad de Salt Typhoon de permanecer sin ser detectado durante años pone de relieve las tácticas avanzadas del grupo. Su persistencia en el uso de equipos de múltiples proveedores sugiere una planificación meticulosa y una operación bien financiada. A diferencia de los cibercriminales oportunistas que explotan las vulnerabilidades para obtener ganancias inmediatas, los actores patrocinados por el Estado como Salt Typhoon suelen aspirar a un acceso sostenido, lo que les permite reunir información, interrumpir operaciones o prepararse para futuros ciberataques.

Si bien informes anteriores sugirieron que Salt Typhoon también aprovechaba vulnerabilidades más nuevas, como CVE-2023-20198 y CVE-2023-20273, Cisco no encontró evidencia que respalde estas afirmaciones. En cambio, el principal método de explotación sigue siendo CVE-2018-0171, una falla en el protocolo Smart Install (SMI) de Cisco, combinada con el robo de credenciales.

Credenciales robadas: la clave para el acceso inicial

Un aspecto esencial de esta campaña es el uso de credenciales válidas y robadas para obtener acceso a los dispositivos de la red. Si bien aún no está claro el método exacto que utilizó Salt Typhoon para obtener estas credenciales, la evidencia sugiere que buscaron activamente detalles de inicio de sesión almacenados dentro de los sistemas comprometidos. También monitorearon el tráfico de la red para capturar datos de autenticación, específicamente apuntando a los protocolos SNMP, TACACS y RADIUS para extraer claves secretas y otras credenciales de inicio de sesión.

Una vez dentro de una red, Salt Typhoon empleó varias técnicas para ampliar su alcance y garantizar un acceso prolongado. Entre ellas, se encontraban la modificación de las configuraciones de los dispositivos de red, la creación de cuentas locales no autorizadas, la habilitación del acceso mediante Guest Shell y la configuración de un acceso SSH persistente.

Técnicas de vida de la tierra y pivoteo de redes

Salt Typhoon aprovechó técnicas de "living off-the-land" (LOTL), que implican el abuso de herramientas e infraestructuras legítimas del sistema para evitar ser detectado. Al utilizar dispositivos de red comprometidos como puntos de pivote, pudieron saltar de una red de telecomunicaciones a otra sin dejar de permanecer ocultos. Estos dispositivos comprometidos probablemente sirvieron como relés intermedios, ayudando a los atacantes a moverse lateralmente hacia sus objetivos finales o a establecer rutas de exfiltración de datos salientes.

Para evadir aún más su detección, Salt Typhoon manipuló las configuraciones de red alterando las direcciones de interfaz de bucle invertido en los conmutadores comprometidos. Esto les permitió establecer conexiones SSH que eludían las listas de control de acceso (ACL), lo que les permitía moverse sin restricciones dentro del entorno objetivo.

JumbledPath: una herramienta personalizada para operaciones sigilosas

Uno de los descubrimientos más preocupantes es el uso por parte de Salt Typhoon de una herramienta personalizada llamada JumbledPath, que está diseñada específicamente para la infiltración sigilosa en la red. Este binario ELF basado en Go permite a los atacantes ejecutar capturas de paquetes en dispositivos Cisco remotos a través de un host de salto controlado por el actor. La herramienta también puede borrar los registros del sistema y deshabilitar el registro por completo, lo que dificulta considerablemente el análisis forense.

Los intentos periódicos de borrar registros reducen aún más la visibilidad de sus actividades. Se observó que Salt Typhoon borraba registros críticos, incluidos .bash_history, auth.log, lastlog, wtmp y btmp, para cubrir sus rastros y garantizar que sus operaciones permanecieran sin ser detectadas durante períodos prolongados.

Explotación continua de dispositivos Cisco

Además de las actividades de Salt Typhoon, Cisco también ha detectado ataques generalizados a sus dispositivos con funciones de Smart Install (SMI) expuestas, lo que lleva a la explotación continua de CVE-2018-0171. Sin embargo, Cisco aclaró que esta actividad no está vinculada a Salt Typhoon y no parece estar asociada con ningún grupo de amenazas conocido.

Cómo pueden las organizaciones defenderse de estos ataques

Dada la naturaleza persistente de las operaciones del tifón salino, las organizaciones, especialmente las del sector de las telecomunicaciones, deben tomar medidas proactivas para proteger sus redes. Las medidas defensivas recomendadas incluyen:

Deshabilitar la instalación inteligente (SMI): si no es necesario, se debe desactivar SMI para mitigar el riesgo de explotación.
Aplicación de la autenticación multifactor (MFA): las credenciales robadas son menos efectivas si se requiere MFA para la autenticación.

Actualización periódica del firmware y parches de vulnerabilidades: CVE-2018-0171 se conoce desde hace años, pero los atacantes continúan explotándolo debido a sistemas sin parches.

Supervisión del tráfico de red para detectar anomalías: las organizaciones deben supervisar de cerca las solicitudes de autenticación, la actividad SSH inusual y los cambios de configuración inesperados.

Implementar políticas sólidas de control de acceso: restringir el acceso a la infraestructura crítica puede limitar la capacidad de un atacante de moverse lateralmente dentro de la red.

La exitosa infiltración del tifón Salt Typhoon en las redes de telecomunicaciones de Estados Unidos subraya la importancia de la vigilancia en materia de ciberseguridad. Su capacidad para explotar una vulnerabilidad que ya tiene años, robar credenciales y permanecer sin ser detectados durante períodos prolongados demuestra la evolución del panorama de amenazas. Las organizaciones deben priorizar las estrategias de defensa proactivas, que incluyen una gestión sólida de parches, monitoreo de redes y controles de acceso estrictos, para mitigar los riesgos que plantean las amenazas cibernéticas patrocinadas por el estado.

La declaración de quiebra del procesador de pagos de EnigmaSoft, Digital River GmbH, no afecta la protección antimalware de los clientes de SpyHunter

Buscar

Cambia región