Después de ataques de alto perfil y revelaciones centradas en la infraestructura de redes empresariales, el Departamento de Seguridad Nacional de los EE.UU. alertó sobre algunas de las tácticas usadas por atacantes avanzados, y promovió tener cuidado especial al mantener la integridad de la cadena de suministro.

La advertencia a los operadores de redes, en particular dirigida a aquellos que utilizan equipo de Cisco, viene inmediatamente después del vaciado de ShadowBrokers con los exploits Equation Group, los ataques sin reportar en contra de ASA en junio y los ataques de SYNful Knock en septiembre.

El tema general de la alerta, sin embargo, es una llamada de atención para hacer notar que hardware de redes como routers y firewalls no pueden ser simplemente instalados y olvidados puesto que esta es la mentalidad que los atacantes avanzados consideran y aprovechan.

"A diferencia de los hosts que reciben atención en relación a la administración de su seguridad, y para los cuales existen herramientas antimalware, los dispositivos de redes a menudo trabajan en segundo plano con poca seguridad, hasta que la conectividad de la red se pierde o disminuye", alertan.

El equipo de redes es amenazado porque a menudo es un punto débil que puede ser usado como pivote para lanzar nuevos ataques y mantener su presencia en el dispositivo.

"Una vez en el aparato, pueden permanecer ahí sin ser detectados por largos periodos", asegura la alerta. "Después de un incidente, cuando los administradores y profesionales de seguridad realizan análisis forense y recuperan el control, un ciberdelincuente con acceso persistente en los dispositivos de la red puede volver a atacar los hosts recién expurgados. Por esta razón, los administradores necesitan asegurar una configuración y dispositivos de control de red apropiados."

El Departamento de Seguridad Nacional de EE.UU. también advirtió a los gestores de redes que vigilen los canales de suministro, incluyendo mercados secundarios o "grises". La preocupación es que los productos vendidos a través de mercados secundarios no están verificados correctamente y sean más fáciles de ser violados.

"Las brechas en la cadena de suministro provén una oportunidad para que el software o hardware malicioso pueda ser instalado en un equipo", alertan. "Además, el software malicioso o no autorizado puede cargarse en un dispositivo después de que está en operación, así que la revisión de la integridad del software debe realizarse regularmente".

La alerta advierte también que los atacantes no necesariamente actúan armados con exploits de día cero para vulnerabilidades sin reportar. En el caso de SYNful Knock, por ejemplo, los atacantes son capaces de cambiar las imágenes del sistema operativo en routers, permitiendo la persistencia a largo plazo en una red con sólo usar un paquete TCP SYN preparado para establecer una puerta trasera entre el router amenazado y el servidor del atacante.

Las credenciales débiles o por defecto son las culpables de la infección inicial, y la configuración deficiente de los aparatos permite a los atacantes poner otra imagen en el router.

Los ataques, que comenzaron en junio, en contra del firewall Cisco ASA y los aparatos VPN fueron reportados al Centro de Integración de Comunicaciones y Seguridad Nacional de EE.UU. Los instrumentos ASA fueron atacados y modificados, y el tráfico fue redireccionado a sitios controlados por los atacantes donde los usuarios eran engañados para proporcionar sus credenciales.

"Se sospecha que los actores maliciosos evadieron CVE-2014-3393 para inyectar código malicioso en los dispositivos infectados", asegura la alerta. "El actor malicioso podría entonces ser capaz de modificar los contenidos del sistema de archivos cache de Random Access Memory Filing System (RAMFS) e inyectar el código malicioso en la configuración del aparato."

Dos meses después, el vaciado de ShadowBrokers de exploits de la NSA en contra de equipo de Cisco, Juniper, WatchGuard, Fortinet y TOPSEC apareció en línea, lo cual causó que los distribuidores afectados respondieran con parches y advirtieran sobre ello a gestores de redes. Cisco ASA fue el objetivo favorito del Equation Group, apodado NSA, el cual aparentemente tiene exploits para software ASA del 2011. Una vulnerabilidad de día cero en ASA SNMP fue encontrada en el vaciado y fue rápidamente parchada por Cisco, pero la disponibilidad de los exploits, advierte DHS, podría convertir estas cajas en objetivos en los años venideros.

La alerta del Departamento de Seguridad Nacional ofrece un grupo de asesoría de mitigación, que incluye segregación de red, aislamiento de máquinas delicadas, limitar la comunicación máquina a máquina, configuraciones seguras mejoradas para dispositivos de redes y acceso seguro a aparatos que incluyen autenticaciones multifactor.