Entre los exploits de Equation Group que filtraron Shadow Brokers, EXTRABACON (que ataca dispositivos Cisco ASA) captó la atención de atacantes e investigadores.

Ha sido demostrado que el exploit puede ser fácilmente modificado para funcionar en versiones más recientes de dispositivos VPN SSL de Cisco ASA. Investigadores armados con honeypots notaron que los intentos de usarlo comenzaron después del filtrado del grupo cibercriminal.

Se pensaría que noticas como esta podrían obligar a los administradores alrededor del mundo a parchar los dispositivos bajo su control tan pronto como las mejoras estuvieran disponibles, pero no es así.

Investigadores de Rapid7, Derek Abdine y Bob Rudis han usado recientemente el Project Sonar para saber cuántas cajas potencialmente vulnerables pueden encontrarse en línea. 

Advierten que "vulnerable" podría ser una palabra muy fuerte, pues para tomar ventaja del exploit un atacante debe tener la capacidad de tener acceso al dispositivo vía UDP SNMP, conocer la comunidad SNMP, y tener acceso por telnet o SSH.

Sin embargo, sus esfuerzos han revelado que de las 50 mil cajas que encontraron (la mitad de ellas en EE.UU.), sólo 38 mil podrían revelar la fecha del último reinicio (pidieron esa información porque no podían probar legalmente los SNMP y los accesos telnet/SSH).

Del resto, 10,097 han sido reiniciados (y eso significa que probablemente fueron parchados) desde que el exploit se hizo público.

Entre aquellos que no han tomado cartas en el asunto son los proveedores de telecomunicaciones, compañías de servicios financieros, compañías de tecnología, proveedores de seguros y servicios médicos en el mundo y una gran agencia del gobierno del Reino Unido.

"Esta revisión sobre cómo las organizaciones han reaccionado al exploit EXTRABACON original y al actualizado muestra que algunos parecen haber resuelto el problema de manera seria como para reaccionar rápidamente, mientras que otros han actuado más cautelosamente", apuntaron los investigadores.

"Es importante remarcar, una vez más, que los atacantes necesitan tener más que un acceso SSL externo para usar estos recursos maliciosos. Sin embargo, también notamos que la vulnerabilidad es muy real y afecta un gran número de dispositivos Cisco además de los SSL VPN. Así que, mientras uno podría haberlo considerado de bajo riesgo, no se debería olvidar asegurarse de que se cuenta con los más recientes dispositivos Cisco ASA en uso, dónde están localizados y verificar las configuraciones de seguridad en los segmentos de red con acceso a ellos."

Notaron que "los parches de Cisco generalmente son fáciles de instalar, así que sería prudente para muchas organizaciones que habilitaran el parche tan pronto como lo obtengan y lo prueben."