Se ha detectado una puerta trasera sofisticada denominada PolarEdge que afecta dispositivos de Internet de las Cosas (IoT), empleando un servidor TLS personalizado y un protocolo binario propio para comunicación con sus servidores de comando y control. Este malware aprovecha la vulnerabilidad CVE-2023-20118 en routers Cisco para ejecutar código remotamente, instalando web shells y posteriormente desplegando su carga maliciosa mediante scripting FTP. PolarEdge destaca por su persistencia y versatilidad, afectando también dispositivos de marcas como Asus, QNAP y Synology.
CVE y severidad
| CVE | Descripción |
|---|---|
| CVE-2023-20118 | Vulnerabilidad que permite ejecución remota de código en routers Cisco. |
Productos afectados
| Fabricante | Producto | Componente | Detalles |
|---|---|---|---|
| Cisco | Routers | Firmware (varios modelos vulnerables) | Permite ejecución remota mediante explotación |
| Asus | Dispositivos de red | Variantes específicas de PolarEdge | Puerta trasera avanzada con comunicación TLS |
| QNAP | Dispositivos NAS | Variantes específicas de PolarEdge | Puerta trasera avanzada con comunicación TLS |
| Synology | Dispositivos NAS | Variantes específicas de PolarEdge | Puerta trasera avanzada con comunicación TLS |
Solución
Actualizar los routers Cisco afectados para corregir la vulnerabilidad CVE-2023-20118 y aplicar los parches oficiales de los fabricantes en los dispositivos Asus, QNAP y Synology afectados.
Recomendaciones
Priorizar la aplicación inmediata de actualizaciones de seguridad en entornos IoT y de red, reforzar controles de acceso y monitorear tráfico sospechoso con patrones de comunicación TLS personalizados similares a PolarEdge.