Redazione RHC : 10 septiembre 2025 09:07
A finales de agosto, GreyNoise registró un fuerte aumento en la actividad de escaneo dirigida a dispositivos Cisco ASA. Los expertos advierten que estos aumentos suelen preceder al descubrimiento de nuevas vulnerabilidades de productos. En esta ocasión, se registraron dos picos: en ambos casos, los atacantes controlaron fuertemente las páginas de autorización de ASA y el acceso Telnet/SSH en Cisco IOS
El 26 de agosto, se observó un ataque particularmente grande, iniciado por una botnet brasileña, que utilizó aproximadamente 17.000 direcciones únicas y gestionó hasta el 80% del tráfico. En total, se observaron hasta 25.000 orígenes de IP. Curiosamente, ambas oleadas utilizaron encabezados de navegador similares, camuflados en Chrome, lo que indica una infraestructura común.
Estados Unidos fue el objetivo principal, pero el Reino Unido y Alemania también fueron monitoreados.
Según GreyNoise, aproximadamente el 80 % de estos análisis resultan en el descubrimiento posterior de nuevos problemas de seguridad, aunque la correlación estadística es significativamente menor para Cisco que para otros proveedores. No obstante, estos indicadores permiten a los administradores reforzar sus defensas con antelación.
En algunos casos, estos pueden ser intentos fallidos de explotar errores ya resueltos, pero una campaña a gran escala también podría tener como objetivo mapear los servicios disponibles para una mayor explotación de vulnerabilidades no Aún no se ha revelado.
Un administrador de sistemas independiente con el nombre de usuario NadSec – Rat5ak reportó una actividad similar que comenzó a finales de julio y continuó hasta el 28 de agosto. Registró más de 200.000 solicitudes a ASA en 20 horas, con una carga uniforme de 10.000 solicitudes desde cada dirección, lo que indica una automatización profunda. Las fuentes fueron tres sistemas independientes: Nybula, Cheapy-Host y Global Connectivity Solutions LLP.
Se recomienda a los administradores instalar las últimas actualizaciones de Cisco ASA lo antes posible para corregir las vulnerabilidades conocidas, habilitar la autenticación multifactor para todos los accesos remotos y no publicar directamente páginas /+CSCOE+/logon.html, Web VPN, Telnet o SSH.
En casos extremos, recomendamos externalizar el acceso a través de un concentrador VPN, un proxy inverso o una puerta de enlace con verificación adicional.
También puede utilizar los indicadores de ataque publicados por GreyNoise y Rat5ak para bloquear solicitudes sospechosas en el perímetro y, si es necesario, habilitar el geobloqueo y la limitación de velocidad. Cisco aún no ha emitido ninguna declaración al respecto.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
