Los delincuentes informáticos chinos Salt Typhoon siguen activos en todo el mundo y han vulnerado la seguridad de más proveedores de telecomunicaciones estadounidenses a través de dispositivos de red Cisco IOS XE sin parches.
El grupo de ciberespionaje chino Salt Typhoon (también conocido como FamousSparrow, Ghost Emperor, Earth Estries y UNC2286) ha estado vulnerando los datos de empresas de telecomunicaciones y entidades gubernamentales desde al menos 2019.
La división de investigación de amenazas Insikt Group de Recorded Future afirma [PDF] que el grupo de delincuentes informáticos chino (rastreado Salt Typhoon y RedMike) ha explotado las vulnerabilidades de escalamiento de privilegios CVE-2023-20198 y de inyección de comandos en la interfaz de usuario web CVE-2023-20273.
Estos ataques en curso ya han provocado vulneraciones de la red en varios proveedores de telecomunicaciones, incluido un proveedor de servicios de Internet (ISP) estadounidense, una filial estadounidense de un proveedor de telecomunicaciones del Reino Unido, un proveedor de telecomunicaciones sudafricano, un ISP italiano y un gran proveedor de telecomunicaciones de Tailandia.
Los investigadores de amenazas afirmaron que han detectado dispositivos Cisco comprometidos y reconfigurados en sus redes, que se comunican con servidores controlados por Salt Typhoon a través de túneles de encapsulación de enrutamiento genérico (GRE) para un acceso persistente.
Entre diciembre de 2024 y enero de 2025, Salt Typhoon atacó más de 1.000 dispositivos de red Cisco, más de la mitad de ellos en Estados Unidos, Sudamérica e India. "Utilizando datos de escaneo de Internet, Insikt Group identificó más de 12.000 dispositivos de red Cisco con sus interfaces web expuestas a Internet".
Aunque más de 1.000 dispositivos Cisco fueron atacados, Insikt Group considera que es probable que esta actividad estuviera focalizada, dado que esta cifra solo representa el 8% de los dispositivos expuestos y que RedMike realizó una actividad de reconocimiento periódica, seleccionando dispositivos vinculados a proveedores de telecomunicaciones.
Hace dos años, las dos vulnerabilidades se explotaron en ataques Zero-Day que comprometieron más de 50.000 dispositivos Cisco IOS XE, lo que permitió la implementación de malware de puerta trasera a través de cuentas privilegiadas no autorizadas. Según un aviso de noviembre de Five Eyes, estas fallas de seguridad se encontraban entre las cuatro principales explotadas con mayor frecuencia en 2023.
Iniskt Group aconseja a los administradores de red que operan dispositivos de red Cisco IOS XE expuestos a Internet que apliquen los parches de seguridad disponibles lo antes posible y eviten exponer las interfaces de administración o los servicios no esenciales directamente a Internet.
"Hasta la fecha, no hemos podido validar estas afirmaciones, pero seguimos revisando los datos disponibles. En 2023, emitimos un aviso de seguridad que revela estas vulnerabilidades junto con una guía para que los clientes apliquen urgentemente la solución de software disponible", dijo un portavoz de Cisco a BleepingComputer.
Estas infracciones forman parte de una campaña más amplia confirmada por el FBI y la CISA en octubre. En estos ataques, los delincuentes informáticos estatales chinos vulneraron los datos de múltiples operadores de telecomunicaciones estadounidenses (entre ellos AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications y Windstream) y de empresas de telecomunicaciones en docenas de otros países.
Si bien tenían acceso a las redes de telecomunicaciones estadounidenses, comprometieron las "comunicaciones privadas" de un "número limitado" de funcionarios del gobierno estadounidense y accedieron a la plataforma de escuchas telefónicas de las fuerzas del orden de Estados Unidos.
Fuente: BleepingComputer