Cisco ha emitido una alerta sobre una vulnerabilidad en su software Cisco Secure Log Utility (CSLU), donde se ha detectado una cuenta backdoor explotada en ataques activos. Esta falla permite a los atacantes obtener acceso no autorizado con privilegios administrativos, poniendo en riesgo la seguridad de las redes empresariales. Cisco ha tomado medidas para mitigar el riesgo y recomienda que las organizaciones afectadas actúen de inmediato para proteger sus infraestructuras.
Detalles de la vulnerabilidad en CSLU
Cisco Secure Log Utility (CSLU) es una herramienta utilizada para gestionar y analizar los registros de eventos de seguridad en redes empresariales. La vulnerabilidad CVE-2024-20439, identificada en esta herramienta, permite a los atacantes acceder al sistema con privilegios elevados sin necesidad de autenticación adecuada, lo que les otorga control total del sistema. Esto expone a las empresas a riesgos graves, como la manipulación de registros, el robo de información sensible y la instalación de malware en redes críticas.
Cisco parcheó esta falla en septiembre, describiéndola como “una credencial de usuario estática no documentada para una cuenta administrativa”. Esta vulnerabilidad permite que atacantes no autenticados inicien sesión remotamente en sistemas sin parches con privilegios de administrador a través de la API de Cisco Smart Licensing Utility (CSLU). La falla solo afecta a los sistemas que ejecutan versiones vulnerables de CSLU y solo puede ser explotada si el usuario inicia la aplicación CSLU, que no se ejecuta en segundo plano por defecto.
Explotación activa y riesgos para las empresas
Cisco ha confirmado que la vulnerabilidad CVE-2024-20439 está siendo explotada activamente en ataques reales. Los atacantes pueden obtener acceso a las redes comprometidas mediante la cuenta backdoor, lo que plantea varios riesgos:
- Acceso remoto no autorizado, permitiendo que los atacantes ingresen sin credenciales válidas.
- Manipulación de registros de seguridad, dificultando la detección de actividades maliciosas y la respuesta a incidentes.
- Instalación de malware o acceso a sistemas críticos para comprometer la infraestructura empresarial a largo plazo.
- Robo o exposición de información confidencial, afectando la integridad de los datos de clientes y empleados.
Medidas adoptadas por Cisco
- Eliminación de la cuenta backdoor: Cisco ha corregido la vulnerabilidad CVE-2024-20439 eliminando la cuenta backdoor en las versiones afectadas de CSLU. Esto previene futuros accesos no autorizados y mitiga el riesgo de explotación de la vulnerabilidad.
- Implementación de parches de seguridad: Cisco ha lanzado parches para todas las versiones vulnerables de CSLU. Estos parches corrigen la falla de seguridad y protegen los sistemas afectados de accesos no autorizados. Se recomienda que las empresas actualicen sus sistemas con estos parches tan pronto como sea posible.
- Mejoras en la autenticación: Cisco ha reforzado las políticas de autenticación y acceso para evitar que se produzcan vulnerabilidades similares en el futuro. Esto incluye mejoras en el proceso de autenticación de cuentas administrativas, reduciendo la posibilidad de acceso no autorizado.
- Revisión de la infraestructura de seguridad: Cisco ha llevado a cabo una revisión exhaustiva de la infraestructura de seguridad de CSLU para identificar posibles debilidades adicionales y aplicar medidas correctivas.
- Actualización de las directrices de seguridad: Cisco ha actualizado sus directrices de seguridad y recomendaciones para ayudar a las organizaciones a proteger sus redes y sistemas de futuras amenazas. Estas directrices incluyen buenas prácticas para configurar y monitorear el uso de CSLU.
