El Instituto SANS recomienda a los administradores cambiar rápidamente las credenciales predeterminadas en Juniper SSR y parchear Cisco SLU.

Varios expertos en seguridad han recomendado a los administradores de sistemas estar alerta ante el aumento de las sondas de Internet dirigidas a dispositivos de Juniper Networks, Cisco Systems y Palo Alto Networks.
En concreto, un experto en ciberseguridad ha advertido a los administradores de red acerca de la necesidad de cambiar la combinación de inicio de sesión de la configuración de fábrica de un router de Juniper Networks si aún no lo han hecho, dado que un actor de amenazas está sondeando Internet utilizando las credenciales predeterminadas de dicho dispositivo.
Johannes Ullrich, decano de investigación del SANS Institute, es el experto que ha apreciado el aumento de los escaneos del nombre de usuario “t128” y la contraseña “128tRoutes”. Por eso, ha reconocido en una entrevista que “es triste [que una importante empresa de redes siga utilizando un nombre de usuario y una contraseña predeterminados en 2025] para productos grandes y caros como este”.
Esta, dijo, es una cuenta predeterminada muy conocida para la Plataforma de Redes Inteligentes de Sesión (o «SSR» por «Session Smart Routing») de Juniper, y añadió: “Los administradores sofisticados deberían saber que no se debe permitir el uso de contraseñas predeterminadas”.
La investigación se llevó a cabo durante siete días a finales del mes pasado. Según Ullrich, consistió en un escaneo aleatorio de Internet, pero sólo funcionaría para este dispositivo Juniper en particular si no se hubieran cambiado las credenciales predeterminadas.
Ya a finales de 2020, Juniper anunció que había llegado a un acuerdo para comprar el creador del router definido por software 123 Technology por 450 millones de dólares. Como ya advirtió en su momento este especialista en su blog, gran parte del producto, incluidos los nombres de usuario y contraseñas predeterminados, no se modificó tras la adquisición.
Al respecto de los intentos de inicio de sesión, dijo que “parece una botnet cualquiera”, para añadir: “No he capturado la carga útil real que se ejecutaría al iniciar sesión con éxito, pero sospecho que es algún tipo de criptominer o derivado de Mirai [botnet]. No parece para nada sofisticado”.
Al respecto, Juniper ha declinado realizar cualquier comentario al serle pedida su opinión.
Intentos de explotación en dispositivos Cisco
Ullrich reconoció que Juniper por lo menos ha documentado el hecho de que existe una contraseña predeterminada, lo que le ha llevado a pedir a los administradores del dispositivo SSR que cambien las credenciales predeterminadas. En cambio, a los clientes de Cisco Systems les ha pillado por sorpresa saber que el pasado mes de septiembre ya existía una vulnerabilidad que exponía una contraseña fija y un archivo de registro a través de su software Smart Licensing Utility.
Si se enteraron fue porque Cisco reveló dos vulnerabilidades críticas y emitió un parche. No obstante, Ullrich descubrió el mes pasado que alguien está tratando de explotar los agujeros en los dispositivos sin parchear. A principios de esta semana, Cisco emitió una actualización de su alerta de septiembre confirmando los informes de intento de explotación. Es ahora cuando el fabricante recomienda a su clientes de manera encarecida que actualicen a una versión de software parcheada para remediar esta vulnerabilidad.
Los expertos en ciberseguridad y los gobiernos llevan años instando a los fabricantes a que dejen de vender productos con contraseñas predeterminadas. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. ya emitió en 2016 una alerta sobre los riesgos.
Pues a los fabricantes y desarrolladores de aplicaciones no les resulta tan difícil evitar las contraseñas predeterminadas, añadió Ullrich. Es ahora cuando algunos fabricantes de dispositivos de consumo conectados a Internet colocan pegatinas en la parte posterior con una contraseña personalizada. Otra opción pasa por no tener contraseñas predeterminadas para los productos, dejando al usuario la potestad de crear sus propias credenciales la primera vez que inicie sesión.
Escaneo de portales de Palo Alto Networks
Mientras tanto, investigadores de GreyNoise informaron esta semana de que habían notado un aumento significativo reciente en la actividad de escaneo de inicio de sesión dirigida a los portales PAN-OS GlobalProtect de Palo Alto Networks. Ésta es una aplicación de punto final que permite a los empleados acceder a los recursos de una empresa de forma remota.
Según esos investigadores, casi 24.000 direcciones IP únicas han intentado acceder a estos portales en el último mes.
“El patrón sugiere un esfuerzo coordinado para sondear las defensas de la red e identificar sistemas expuestos o vulnerables, potencialmente como precursor de una explotación selectiva”, reconocieron. Por eso sugieren que un actor de amenazas ha descubierto una nueva vulnerabilidad.
El informe no revela si el escaneo fue acompañado de intentos de inicio de sesión.
La mayor parte del tráfico procedía de Estados Unidos (16.249 direcciones IP) y Canadá (5.823), seguidos de Finlandia, Países Bajos y Rusia. De todas formas, se sabe que los actores de amenazas disfrazan sus bases aprovechando servidores comprometidos en otros países.
La inmensa mayoría del tráfico se dirigió a sistemas en Estados Unidos (23.768), con volúmenes más pequeños dirigidos a Reino Unido, Irlanda, Rusia y Singapur. Según el informe, el pico comenzó el 17 de marzo, con una actividad que alcanzó casi 20.000 IP únicas por día y se mantuvo estable hasta el 26 de marzo, antes de disminuir. La mayor parte de la actividad es sospechosa, con un subconjunto más pequeño marcado como malicioso.
Tal y como se puede leer en el informe, “la consistencia de esta actividad sugiere un enfoque planificado para poner a prueba las defensas de la red, lo que podría allanar el camino para la explotación».
Por eso, los investigadores han recomendado a las organizaciones que utilizan productos de Palo Alto Networks deberían tomar medidas para proteger sus portales de inicio de sesión.