{"id":1013691,"date":"2023-10-24T22:21:35","date_gmt":"2023-10-24T22:21:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/implante-de-puerta-trasera-en-dispositivos-cisco-pirateados-modificados-para-evadir-la-deteccion\/"},"modified":"2023-10-24T22:21:39","modified_gmt":"2023-10-24T22:21:39","slug":"implante-de-puerta-trasera-en-dispositivos-cisco-pirateados-modificados-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/implante-de-puerta-trasera-en-dispositivos-cisco-pirateados-modificados-para-evadir-la-deteccion\/","title":{"rendered":"Implante de puerta trasera en dispositivos Cisco pirateados modificados para evadir la detecci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Amenaza cibern\u00e9tica\/vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Implante-de-puerta-trasera-en-dispositivos-Cisco-pirateados-modificados-para.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La puerta trasera implantada en los dispositivos Cisco mediante la explotaci\u00f3n de un par de fallas de d\u00eda cero en el software IOS XE ha sido modificada por el actor de amenazas para escapar de la visibilidad a trav\u00e9s de m\u00e9todos anteriores de toma de huellas digitales.<\/p>\n<p>&#8220;El tr\u00e1fico de red investigado hacia un dispositivo comprometido ha demostrado que el actor de la amenaza ha actualizado el implante para realizar una verificaci\u00f3n adicional del encabezado&#8221;, dijo el equipo Fox-IT de NCC Group. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/fox-it\/cisco-ios-xe-implant-detection\" target=\"_blank\">dicho<\/a>.  &#8220;Por lo tanto, para muchos dispositivos, el implante todav\u00eda est\u00e1 activo, pero ahora solo responde si se establece el encabezado HTTP de autorizaci\u00f3n correcto&#8221;.<\/p>\n<p>Los ataques implican crear CVE-2023-20198 (puntuaci\u00f3n CVSS: 10,0) y CVE-2023-20273 (puntuaci\u00f3n CVSS: 7,2) en una cadena de exploits que otorga al actor de la amenaza la capacidad de obtener acceso a los dispositivos, crear una cuenta privilegiada, y, en \u00faltima instancia, implementar un implante basado en Lua en los dispositivos.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Progress-Software-publica-revisiones-urgentes-para-multiples-fallas-de-seguridad.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo se produce cuando Cisco comenz\u00f3 a implementar actualizaciones de seguridad para <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/10\/23\/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities\" target=\"_blank\">abordar las cuestiones<\/a>con m\u00e1s actualizaciones por venir en una fecha a\u00fan no revelada.<\/p>\n<p>Actualmente se desconoce la identidad exacta del actor de amenazas detr\u00e1s de la campa\u00f1a, aunque se estima que la cantidad de dispositivos afectados es de miles, seg\u00fan los datos compartidos por VulnCheck y la empresa de gesti\u00f3n de superficies de ataque Censys.<\/p>\n<p>&#8220;Las infecciones parecen ataques masivos&#8221;, dijo a The Hacker News Mark Ellzey, investigador senior de seguridad de Censys.  &#8220;Puede llegar un momento en el que los hackers revisen lo que tienen y averig\u00fcen si algo vale algo&#8221;.<\/p>\n<p>Sin embargo, la cantidad de dispositivos comprometidos <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/onyphe\/status\/1715633541264900217\" target=\"_blank\">cay\u00f3 en picado<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/time-series\/?date_range=7&amp;source=compromised_website&amp;source=compromised_website6&amp;tag=device-implant%2B&amp;group_by=geo&amp;style=stacked\" target=\"_blank\">en los \u00faltimos d\u00edas<\/a>disminuyendo de aproximadamente 40.000 a unos pocos cientos, lo que llev\u00f3 a especulaciones de que pudo haber habido alg\u00fan <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/CERTCyberdef\/status\/1715787627800969374\" target=\"_blank\">cambios bajo el cap\u00f3<\/a> para ocultar su presencia.<\/p>\n<p>Las \u00faltimas alteraciones en el implante descubiertas por Fox-IT explican el motivo de la ca\u00edda repentina y dram\u00e1tica, ya que se ha observado que m\u00e1s de 37.000 dispositivos todav\u00eda est\u00e1n comprometidos con el implante.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cisco, por su parte, ha <a rel=\"nofollow noopener\" href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-iosxe-webui-privesc-j22SaA4z\" target=\"_blank\">confirmado<\/a> el <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/active-exploitation-of-cisco-ios-xe-software\/\" target=\"_blank\">cambio de comportamiento<\/a> en sus avisos actualizados, comparte un comando curl que se puede emitir desde una estaci\u00f3n de trabajo para verificar la presencia del implante en los dispositivos &#8211;<\/p>\n<blockquote><p><i>curl -k -H &#8220;Autorizaci\u00f3n: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb&#8221; -X POST &#8220;https:\/\/systemip\/webui\/logoutconfirm.html?logon_hash=1&#8221;<\/i><\/p><\/blockquote>\n<p>&#8220;Si la solicitud devuelve una cadena hexadecimal como 0123456789abcdef01, el implante est\u00e1 presente&#8221;, se\u00f1al\u00f3 Cisco.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/backdoor-implant-on-hacked-cisco.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de octubre de 2023\ue804Sala de redacci\u00f3nAmenaza cibern\u00e9tica\/vulnerabilidad La puerta trasera implantada en los dispositivos Cisco mediante la<\/p>\n","protected":false},"author":1,"featured_media":1013692,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,6809,4664,34790,5718,28129,4662,84006,4668,201033,63019,4654,201031,4659,4653,4655,18,5898,1732,4666,4665,201032,7157,4660],"class_list":["post-1013691","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cisco","tag-como-hackear","tag-deteccion","tag-dispositivos","tag-evadir","tag-filtracion-de-datos","tag-implante","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-modificados","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pirateados","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-trasera","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013691","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1013691"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013691\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1013692"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1013691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1013691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1013691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}