Si administras accesos remotos, prepárate. Investigadores de seguridad han detectado una campaña coordinada y masiva dirigida específicamente contra las dos plataformas de VPN más grandes del mercado: Cisco Secure Firewall (anteriormente ASA) y Palo Alto Networks GlobalProtect.
A diferencia de las alertas de “Zero-Day” que hemos cubierto esta semana, aquí no se está explotando una vulnerabilidad de software. Se trata de un ataque de “Credential Stuffing” (Relleno de Credenciales) a escala industrial. Los atacantes están utilizando bases de datos de usuarios y contraseñas filtradas de otros sitios para intentar iniciar sesión en las VPNs corporativas, apostando a que los empleados reutilizan sus claves.
Los Datos del Ataque
- Volumen: Se detectaron aproximadamente 1.7 millones de sesiones de login en un periodo de solo 16 horas.
- Origen: Curiosamente, la gran mayoría del tráfico malicioso proviene de un único proveedor de hosting en Alemania llamado 3xK GmbH, lo que sugiere una infraestructura centralizada y altamente automatizada.
- Objetivo: Los ataques buscan identificar portales VPN expuestos que permitan acceso con credenciales débiles o comprometidas, enfocándose principalmente en objetivos en Estados Unidos, México y Pakistán.
“Trae tu propia contraseña” (BYOP)
Los expertos describen este ataque como un modelo donde “los atacantes traen sus propias contraseñas”. No necesitan un exploit complejo; solo necesitan que un empleado tenga la contraseña Empresa2025 y que la VPN no tenga doble factor de autenticación. Si logran entrar, el acceso es legítimo a ojos del sistema, lo que hace que la detección sea muy difícil sin herramientas de análisis de comportamiento.
Distinción Importante
Es vital no confundir esto con los ataques de Zero-Day en Cisco AsyncOS (UAT-9686) reportados ayer. GreyNoise ha confirmado que no hay conexión técnica entre ambas campañas. Esto significa que los equipos de seguridad están luchando en dos frentes simultáneos: parcheando bugs críticos por un lado y repeliendo intentos de login masivos por el otro.
Tu única defensa real: MFA
- Auditoría Urgente: Verifica que ningún usuario (incluyendo cuentas de servicio o proveedores externos) pueda conectarse a la VPN solo con usuario y contraseña.
- Geo-Bloqueo: Si tu empresa no tiene empleados en Alemania o Pakistán, bloquea el tráfico entrante de esos países en el firewall perimetral hoy mismo para mitigar el ruido de esta campaña específica.
