Cabecera-v2-web.jpg

ASUS ha publicado un aviso de seguridad sobre ataques del malware Cyclops Blink


18/03/2022

ASUS ha publicado un aviso de seguridad sobre ataques del malware Cyclops Blink dirigidos a varios de sus enrutadores, que permiten leer la memoria flash del dispositivo para recopilar información sobre archivos críticos.

Cyclops Blink es un malware vinculado al grupo de piratería Sandworm, respaldado por Rusia que históricamente se ha dirigido a WatchGuard Firebox y otros dispositivos de red SOHO.

El papel de Cyclops Blink es establecer la persistencia de los actores de amenazas en el dispositivo, permitiéndoles un punto de acceso remoto a redes comprometidas. El malware recibe un comando para anidarse en la memoria flash y establecer una persistencia permanente para recopilar información sobre archivos críticos, ejecutables, datos y bibliotecas, ya que este espacio de almacenamiento no se borra incluso con los restablecimientos de fábrica.

Se advirtió que el malware cuenta con un módulo especializado que se dirige a varios enrutadores ASUS. Debido a que Cyclops Blink es modular, se puede actualizar fácilmente para apuntar a nuevos dispositivos, actualizando constantemente su alcance y aprovechando nuevos grupos de hardware explotable.

Para obtener más detalles sobre el módulo ASUS de Cyclops Blink, se ha publicado un artículo técnico explicando cómo funciona.

Los productos afectados en ASUS son:

  • Firmware GT-AC5300 bajo 3.0.0.4.386.xxxx
  • Firmware GT-AC2900 bajo 3.0.0.4.386.xxxx
  • RT-AC5300 firmware bajo 3.0.0.4.386.xxxx
  • RT-AC88U firmware bajo 3.0.0.4.386.xxxx
  • RT-AC3100 firmware bajo 3.0.0.4.386.xxxx
  • RT-AC86U firmware bajo 3.0.0.4.386.xxxx
  • RT-AC68U, Firmware AC68R, AC68W, AC68P bajo 3.0.0.4.386.xxxx
  • RT-AC66U_B1 firmware bajo 3.0.0.4.386.xxxx
  • RT-AC3200 firmware bajo 3.0.0.4.386.xxxx
  • Firmware RT-AC2900 bajo 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P firmware bajo 3.0.0.4.386.xxxx
  • RT-AC87U (EOL)
  • RT-AC66U (EOL)
  • RT-AC56U (EOL)

ASUS aún no ha lanzado nuevas actualizaciones de firmware contra los ataques de Cyclops Blink. Sin embargo, recomendamos las siguientes mitigaciones que se pueden usar para proteger los dispositivos:

  • 1.Restablecer el dispositivo a los valores predeterminados de fábrica: Inicie sesión en la GUI web, vaya a Administración → Configuración de restauración / guardado / carga, haga clic en "Inicializar toda la configuración y borre todo el registro de datos" y luego haga clic en el botón Restaurar.
  • 2.Actualizar todos los dispositivos al firmware más reciente.
  • 3.Asegúrese de que la contraseña de administrador predeterminada se haya cambiado a una más segura.
  • 4.Deshabilite la administración remota (deshabilitada de forma predeterminada, solo se puede habilitar a través de la configuración avanzada).

Adicionalmente, para obtener más ayuda con la configuración del enrutador y una introducción a la seguridad de la red, visite los siguientes enlaces:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11