Cisco ha confirmado que los piratas informáticos patrocinados por el estado chino están explotando activamente una vulnerabilidad crítica no parcheada en sus productos de seguridad ampliamente utilizados. La falla afecta a los dispositivos Cisco Secure Email Gateway, Cisco Secure Email y Web Manager, lo que potencialmente permite a los atacantes un control total sobre los dispositivos comprometidos.
Detalles de vulnerabilidad crítica
La vulnerabilidad reside en la función “Cuarentena de spam” del software Cisco AsyncOS. Si bien no está habilitado de forma predeterminada, las instancias expuestas a las que se puede acceder desde Internet corren un riesgo inmediato. Cisco descubrió la campaña de explotación el 10 de diciembre, pero no hay ningún parche disponible de inmediato, lo que dejó a las organizaciones luchando por encontrar estrategias de mitigación.
La recomendación actual de la compañía es extrema: reconstrucción completa de los dispositivos afectados. Esto se debe a que los atacantes probablemente ya hayan establecido puertas traseras persistentes que no se pueden eliminar mediante parches convencionales.
Por qué esto es importante
Esta es una amenaza de alta gravedad por varias razones:
- Implementación amplia: Los productos de seguridad de correo electrónico de Cisco son muy utilizados por grandes organizaciones, lo que hace que la superficie de ataque potencial sea significativa.
- Actores patrocinados por el estado: Cisco Talos, el brazo de inteligencia sobre amenazas de la compañía, vincula la campaña con grupos de piratería respaldados por el gobierno chino. Esto sugiere un esfuerzo dirigido más que un crimen oportunista.
- Explotación de día cero: La ausencia de un parche significa que incluso las organizaciones con sólidas prácticas de seguridad son vulnerables hasta que se solucione la falla.
Opciones de mitigación limitadas
Si bien la función de cuarentena de spam no está habilitada de forma predeterminada y no necesita estar expuesta a Internet, Cisco admite que los sistemas afectados ya están comprometidos.
Los investigadores de seguridad como Michael Taggart de UCLA Health Sciences señalan que la superficie de ataque está algo limitada por el requisito de una interfaz de administración con acceso a Internet. Sin embargo, Kevin Beaumont, un respetado investigador de ciberseguridad, advierte que la falta de parches y la posibilidad de persistencia a largo plazo hacen de esta una campaña particularmente peligrosa.
Respuesta de Cisco
Cisco aún no ha revelado el número de clientes afectados. Cuando se le presionó para que diera más detalles, un portavoz de la empresa se negó a responder preguntas y, en cambio, afirmó que están “investigando activamente” y “desarrollando una solución permanente”.
Esta es una situación en desarrollo que exige atención inmediata por parte de los clientes de Cisco. La falta de un parche obliga a tomar medidas drásticas: reconstruir los sistemas comprometidos es la única solución viable en este momento.
El hecho de que piratas informáticos patrocinados por el Estado chino estén detrás de esta campaña sugiere que la infraestructura crítica y los datos confidenciales están en riesgo. Las organizaciones deben actuar rápidamente para evaluar su exposición e implementar las medidas de mitigación recomendadas.
