La acechante amenaza de los productos de seguridad Edge
Compartir
Internet es oscura y está llena de terrores, un hecho que ha quedado patente en las últimas semanas por el flujo constante de vulnerabilidades graves en los productos de seguridad de última generación. Los mismos productos destinados a proteger las redes de las amenazas se han convertido en objetivos favoritos de los atacantes, que a menudo encuentran en ellos puntos de entrada fáciles para esos entornos.
Desde 2021, la explotación de dispositivos perimetrales como medio de acceso inicial ha contrarrestado la creencia convencional de que el phishing es el vector de intrusión más común. La revelación rutinaria de vulnerabilidades graves en dispositivos perimetrales, como dispositivos VPN y servicios de transferencia de archivos, los ha convertido en un vector atractivo para los actores de amenazas implicados en la Caza de Grandes Amenazas (Big-Game Hunting, BGH). A través de la explotación masiva de estos sistemas vulnerables, los actores de amenazas pueden buscar organizaciones específicas que coincidan con su perfil objetivo, como empresas de alto poder adquisitivo para los actores de ransomware.
Sólo en los dos últimos meses naturales, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha añadido siete vulnerabilidades en dispositivos de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Varios de estos fallos implican algún tipo de desvío de autenticación que permite a un adversario obtener acceso privilegiado al dispositivo o incluso ejecutar comandos arbitrarios. Esta misma semana, se añadieron a KEV vulnerabilidades de elusión de autenticación en productos de seguridad de Palo Alto Networks(CVE-2025-0108) y SonicWall(CVE-2024-53704), y a finales de enero CISA añadió a KEV otro fallo crítico de ejecución remota de código(CVE-2024-23006) en SonicWall Secure Mobile Access VPN.
Es todo un bufé de vulnerabilidades para que los atacantes elijan, y ni siquiera incluye el menú mucho más amplio de fallos en dispositivos de seguridad que aún no se sabe si han sido explotados. Por ejemplo, la semana pasada Ivanti reveló cuatro vulnerabilidades críticas en sus productos Connect Secure, Policy Secure y Cloud Services Appliance, todos ellos muy populares en entornos empresariales.Los datos Censys muestran que más de 14.000 dispositivos Connect Secure exponen una versión que puede ser vulnerable a tres de esos fallos (CVE-2025-22467, CVE-2024-38657 y CVE-2024-10644). Los nuevos datos recopilados por el proveedor de seguridad Darktrace muestran que el 40% de la actividad de explotación del año pasado se dirigió a dispositivos orientados a Internet, como cortafuegos, enrutadores y dispositivos VPN, entre otros. Más recientemente, los investigadores del Grupo Insikt de Recorded Future observaron que Salt Typhoon, un actor chino respaldado por el Estado, explotaba vulnerabilidades conocidas en el software IOS XE de Cisco en una campaña dirigida a empresas de telecomunicaciones en Estados Unidos.
La preocupación por la prevalencia de vulnerabilidades en los dispositivos de seguridad ha sido un tema constante en la comunidad de seguridad durante muchos años, y la CISA, el FBI y otras agencias federales han advertido repetidamente a los defensores de las empresas sobre la actividad de actores chinos, rusos y norcoreanos que atacan estos fallos. En enero, la CISA detalló las campañas de agentes de amenazas anónimos que encadenaron varias vulnerabilidades Ivanti en ataques contra al menos tres organizaciones distintas. Los agresores prestan mucha atención a los informes públicos de vulnerabilidades -además de realizar su propia investigación original de vulnerabilidades en algunos casos- y saben que estos dispositivos no sólo están ampliamente desplegados, sino que a menudo tienen consolas de gestión expuestas a Internet, lo que los hace idóneos para su explotación. Los objetivos abundan.
Para los defensores, los productos de seguridad periférica como cortafuegos, VPN y otros se han convertido en un arma de doble filo. Son elementos necesarios de la arquitectura de seguridad de una red empresarial, pero pueden convertirse en serios inconvenientes si no se configuran correctamente y se supervisan y actualizan con regularidad. Esto último puede ser especialmente delicado, ya que la mayoría de los administradores no están muy dispuestos a desconectar los productos de seguridad para actualizarlos, algo que los adversarios conocen bien y están encantados de utilizar en su beneficio.
Mantenerse al tanto de los informes sobre vulnerabilidades y las actualizaciones de los dispositivos de seguridad puede ser una tarea desalentadora incluso para los equipos de seguridad con más recursos, pero la importancia de hacerlo nunca ha sido tan clara. Una forma de aumentar esos esfuerzos es con el uso de una herramienta como Attack Surface Management de Censys, que supervisa las superficies de red externas y ayuda a descubrir debilidades ocultas y ofrece a los equipos de red y seguridad una imagen constantemente actualizada de su exposición. Si la actualización inmediata no siempre es una opción, aplique todas las medidas posibles para reducir la amenaza, como restringir el acceso a las interfaces de gestión. Los piratas informáticos van a piratear, pero podemos hacer todo lo posible para ponérselo lo más difícil posible.
