Análisis Principal
Seguridad y Riesgo5 min

CISA añade una vulnerabilidad de 2008 en Cisco IOS al catálogo de vulnerabilidades explotadas activamente

Roteador Cisco 871 empoeirado em prateleira de closet de telecomunicações sob luz fluorescente, com cabo ethernet ainda conectado.

La CVE-2008-4128 regresa al radar 18 años después: la interfaz HTTP administrativa en enrutadores Cisco 871 legados sigue produciendo una cadena de CSRF explotable a gran escala.

La CISA añadió el lunes (13) la vulnerabilidad CVE-2008-4128 al Catálogo de Vulnerabilidades Explotadas Conocidas, el registro federal estadounidense de fallas con evidencia de explotación activa. La brecha es una cadena de cross-site request forgery (CSRF) en la interfaz HTTP administrativa del Cisco IOS 12.4, presente en los enrutadores Cisco 871 Integrated Services Routers, que aún están en operación a nivel global 18 años después de la divulgación inicial.


El ataque explora llamadas específicas a través de URI desde la interfaz administrativa. Un atacante que logre que un administrador autenticado acceda a una página maliciosa puede ejecutar comandos como show privilege y alias exec en el dispositivo sin autentificación adicional, lo que abre la superficie para la elevación de privilegios y reconfiguración remota. Según el aviso de la CISA, el vector es frecuente en barridos oportunistas contra enrutadores de borde legados, y el patrón observado sugiere reutilización en campañas actuales.


¿Por qué una vulnerabilidad de 2008 regresa en 2026?


El Cisco 871 quedó fuera de línea hace más de una década. Aun así, la base instalada global sobrevive en sucursales de pequeñas y medianas empresas, en proveedores regionales de última milla y, principalmente, en entornos de tecnología operacional (OT), donde la sustitución depende de ventanas de mantenimiento industrial. Bajo la Directiva Operacional Vinculante 22-01, las agencias civiles federales de EE. UU. tienen un plazo estándar de tres semanas para remediar después de que un ítem entra en el KEV. Fuera del gobierno estadounidense, el registro se convierte en un desencadenante contractual para auditorías, pólizas de ciberseguro y contratos de MSSP en todo el mundo.


El caso amplía un patrón que preocupa a los CISOs desde el año pasado. Las CVEs antiguas regresan al ciclo de explotación porque el hardware no se retira. Cisco no ha emitido un nuevo parche para la CVE-2008-4128, y la mitigación oficial sigue siendo deshabilitar la interfaz HTTP administrativa (no ip http server), migrar la administración a HTTPS/SSH y restringir el acceso mediante ACL. En entornos que dependen de la interfaz web para gestionar mediante scripts, esto significa reescribir automatizaciones que llevan funcionando una década.


Efecto práctico en Nueva York, Frankfurt y São Paulo


En Estados Unidos, la inclusión en el KEV crea una obligación inmediata para el ejecutivo federal civil. Bajo la nueva Directiva Operacional Vinculante 26-04, publicada en mayo, las agencias deben integrar cada entrada a las tarjetas de puntuación de riesgo en 48 horas y reportar la remediación al panel de control de la CISA. Para el CISO federal, la línea operativa ya está clara: barrer el inventario en busca de Cisco 871, verificar si el admin HTTP está activado, aplicar la mitigación o sustituir.


En Alemania, el BSI trata las alertas estadounidenses del KEV como referencia de facto desde 2023, aunque sin obligación legal correspondiente. Los bancos regionales y las Sparkassen con redes de agencia compraron históricamente Cisco 871 en los años 2000, y la actualización del KEV se convierte en insumo para las pruebas de resiliencia del DORA, obligatorias para el sector financiero europeo desde enero. Operadores de OT en energía, en España e Italia, entran en el mismo radio.


En Brasil, el CTIR Gov y la ANPD tratan las entradas del KEV como referencia técnica, con poca automatización sobre grandes empresas privadas. El punto de dolor real radica en los MSP de mediano tamaño que atienden al comercio minorista y cooperativas de crédito, donde el Cisco 871 ha sobrevivido en puntos de venta y agencias rurales. Los auditores de PCI DSS 4.0 ya están pidiendo evidencia explícita de mitigación para cualquier CVE listada en el KEV en informes trimestrales.


¿Qué debe hacer ahora el CISO?


Tres pasos operativos. Primero, escaneo activo por Cisco 871 y IOS 12.4 en el inventario. Segundo, deshabilitar ip http server en cualquier instancia remanente y mover la administración a SSH restringido por ACL. Tercero, reforzar el monitoreo de salida para llamadas de URI conocidas del exploit, alimentando el SIEM con IOCs específicos.


El aviso subyacente no se trata de una CVE de 2008. Se trata de un pipeline en el que la superficie de ataque pagana no es el firmware nuevo, sino el kit que nadie reemplaza. Mientras los proveedores empujan nuevas líneas para el centro de datos, los invasores regresan al perímetro corporativo antiguo, donde el costo político de cambiar equipo sigue siendo alto y el ciclo de mantenimiento continúa siendo el mismo.

Análisis Principal
CISA añade una vulnerabilidad de 2008 en Cisco IOS al catálogo de vulnerabilidades explotadas activamente | The New Times