Cibercriminales aprovechan fallos en Cisco para atacar cortafuegos y sistemas IOS
Miles de dispositivos de la famosa empresa Cisco han sido blanco de ciberataques por vulnerabilidades de día cero recientemente, las cuales afectan a millones de equipos. La Agencia de Seguridad de Infraestructura y Ciberseguridad o CISA, por sus siglas en inglés, ha urgido a las empresas a aplicar parches de seguridad sin demora, advirtiendo que estos fallos suponen un riesgo corporativo crítico.
Este organismo ha emitido una directiva de emergencia vinculada a una actividad en curso, dirigida contra los llamados Cisco Adaptive Security Appliances o ASA, por sus siglas en inglés. Según CISA, los ataques informáticos provienen del mismo grupo APT, patrocinado por un Estado responsable de la operación “ArcaneDoor”, detectada el año pasado, que también supo explotar dallas desconocidas en dispositivos Cisco.
Además, el Centro Nacional de Seguridad Cibernética del Reino Unido ha confirmado que los atacantes han implantado malware en los dispositivos comprometidos, entre los que se incluye “RayInitiator”, un bootkit persistente de varias fases y un cargador de shellcode para exfiltrar información.
El NCSC ha difundido su análisis técnico hace unas semanas, en paralelo con la advertencia. La campaña es extensa y explota vulnerabilidades de día cero para lograr ejecución remota de código no autenticada o RCE, por sus siglas en inglés, en los ASA, además de alterar la memoria ROM con el objetivo de mantener persistencia tras reinicios o actualizaciones, ha indicado CISA.
Del mismo modo, Cisco considera que este actor malicioso ha demostrado desde comienzos del año 2024 la capacidad de modificar de forma exitosa la ROM de los ASA. Esta advertencia ha llegado un día después de que la compañía reconociera otra vulnerabilidad de día cero en explotaciones activas, como la vulnerabilidad CVE-2025-20352, con una puntuación de 7.7.
Esta falla, causada por un desbordamiento de pila, puede provocar ejecución remota de código autenticada y denegación de servicio.
Las vulnerabilidades de día cero son una de las amenazas cibernéticas más peligrosas en la actualidad, por lo que las empresas deben estar totalmente protegidas contra un evento de esta magnitud. Por ello, TIC Defense despliega en tu red corporativa herramientas de alta tecnología que pueden prevenir y dar respuesta rápida a cualquier tipo de incidentes.
Diversos investigadores han advertido también que la enorme presencia de Cisco obliga a un parcheo masivo y de forma inmediata. Cuando se combinan código heredado, despliegue global, errores en subsistemas y superficies web ampliadas, se genera la tormenta perfecta de vulnerabilidad.
La corporación en cuestión ha confirmado que varias versiones de Firepower son vulnerables de igual manera y ha recordado que muchos de estos dispositivos ya alcanzaron el final de su vida útil. Igualmente, ha recomendado actualizar de inmediato a modelos compatibles y mantener el software debidamente actualizado.
Aunque esta campaña parece patrocinada por un Estado, no se atribuye aún a un país en específico, pese a que algunas agencias federales estadounidenses resultaron afectadas. Sin embargo, esto no sorprende, debido a que los fallos de alto riesgo en equipos Cisco son frecuentes y suelen ser aprovechados por ciberdelincuentes vinculados a China o Rusia.
Por lo general, los expertos afirman que los dispositivos Cisco son un blanco recurrente, ya que están en puntos críticos de red, son omnipresentes y comparten código entre plataformas. Por ello, una sola vulnerabilidad de gestión puede impactar en múltiples equipos.
