Muchos usuarios dudaban de la legitimidad del hack, a pesar de que Shadow Brokers publicó archivos de un total de 300 MB, en los que había diversas vulnerabilidades, que muchos expertos de seguridad, además de Kaspersky Labs.

Los firewalls, el objetivo principal

En concreto, había tres herramientas (conocidas como EpicBanana, JetPlow, y ExtraBacon) de entre las 15 que fueron publicadas, que aprovechaban exploits para dispositivos de Cisco, una de las empresas de equipos de telecomunicaciones más importantes del mundo. Las vulnerabilidades afectaban a diversos firewalls de la compañía, como los de la línea ASA o PIX.

fault-router.jpg

Estos ataques de día cero no estaban parcheados, y permitían a los atacantes reiniciar los productos afectados, y ejecutar código de manera remota. Con ello, el firewall les daba acceso autorizado a la red, saltándose o desactivando la protección del mismo. Esto podía permitir a un atacante experimentado (los de la NSA nos consta que lo son) acceder a todo el tráfico que se genera y transmite en una red, siendo este uno de los fallos más graves que pueden tener estos dispositivos.

Además, en el ‘leak’ había también otra vulnerabilidad descubierta y parcheada por Cisco en 2011, que también permitía ejecutar código de manera remota. Por ello, la compañía ha recomendado a todos los dueños de sus dispositivos, sobre todo empresas, actualizar a la última versión del firmware de sus dispositivos.

Para encontrar las vulnerabilidades, los ingenieros de Cisco analizaron todo el dato que había sido publicado en la red por los hackers, y aislaron los exploits que afectaban a sus dispositivos. Además, esto deja entrever claramente que el gobierno de Estados Unidos conocía estos fallos de seguridad desde 2013, y no lo comunicaron a ninguna empresa.

Cisco no ha lanzado todavía una solución para estos problemas, pero aseguran que lo harán en los próximos meses. De momento, han lanzado unas firmas de seguridad para poder detectar si alguien está intentando utilizar el exploit. También recomiendan desactivar el SNMP (Simple Network Management Protocol), que es donde se encuentra la vulnerabilidad principal.

 

Fuente: Ars Technica | adslzone