El FBI, en un anuncio de servicio público (PSA) emitido hoy, 20 de agosto, alerta sobre la vulnerabilidad CVE-2018-0171 en sectores de infraestructura crítica.
El anuncio del FBI traducido al español:
El Buró Federal de Investigaciones (FBI) advierte al público, al sector privado y a la comunidad internacional sobre la amenaza que representan para las redes informáticas y la infraestructura crítica los ciberdelincuentes atribuidos al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia. El FBI detectó a ciberdelincuentes del FSB ruso que explotaban el Protocolo Simple de Administración de Redes (SNMP) y dispositivos de red al final de su vida útil con una vulnerabilidad sin parchear (CVE-2018-0171) en Cisco Smart Install (SMI) para atacar a entidades en Estados Unidos y a nivel mundial.
El año pasado, el FBI detectó a estos ciberdelincuentes recopilando archivos de configuración de miles de dispositivos de red asociados con entidades estadounidenses en sectores de infraestructura crítica. En algunos dispositivos vulnerables, los ciberdelincuentes modificaron los archivos de configuración para permitir el acceso no autorizado a dichos dispositivos. Utilizaron el acceso no autorizado para realizar tareas de reconocimiento en las redes de las víctimas, lo que reveló su interés en protocolos y aplicaciones comúnmente asociados con los sistemas de control industrial. Los profesionales de la ciberseguridad conocen a la unidad del Centro FSB 16 que lleva a cabo esta actividad por varios nombres, entre ellos "Berserk Bear" y "Dragonfly", que se refieren a grupos de actividades cibernéticas separados pero relacionados. Durante más de una década, esta unidad ha comprometido dispositivos de red a nivel mundial, en particular dispositivos que aceptan protocolos heredados sin cifrar, como SMI y SNMP versiones 1 y 2. Esta unidad también ha implementado herramientas personalizadas en ciertos dispositivos Cisco, como el malware identificado públicamente como "SYNful Knock" en 2015.
El FBI y sus socios policiales publicaron previamente directrices que siguen vigentes en una Alerta Técnica, "Actores cibernéticos patrocinados por el Estado ruso que atacan dispositivos de infraestructura de red", el 20 de abril de 2018, y un Aviso Conjunto, "Mitigaciones principales para reducir las ciberamenazas a la tecnología operativa", el 6 de mayo de 2025. Además, Cisco Talos publicó una entrada de blog el 20 de agosto de 2025 con más información sobre su análisis de este actor de amenazas, identificado por Cisco Talos como Static Tundra.
Si sospecha que ha sido víctima de una ciberintrusión del FSB ruso o que se ha visto comprometido por ella, denuncie inmediatamente la actividad a su oficina local del FBI o presente un informe al Centro de Quejas de Delitos en Internet (IC3) del FBI.
Antes de iniciar un informe IC3, evalúe su enrutador y otros dispositivos de red para detectar cualquier cambio de configuración o malware que pudiera haberse instalado. Una vez evaluados, proporcione esta información detallada en el informe IC3.
Video de referencia sobre la vulnerabilidad CVE-2018-0171
Referencia: https://nvd.nist.gov/vuln/detail/CVE-2018-0171
.png)
