CISCO corrige vulnerabilidades en dispositivos ASA, FTD y FMC

Fecha de publicación 29/04/2022
Importancia
4 - Alta
Recursos Afectados
  • Productos CISCO con versiones de software vulnerable:
    • ASA (Adaptive Security Appliance)
    • FTD (Firepower Threat Defense)
    • FMC (Firepower Management Center)
  • CISCO FTD si se da alguna de estas condiciones:
    • que ejecutan el software Snort3 de prevención de intrusiones (IPS) y tienen habilitados la aplicación de reputación DNS;
    • están configurados para enviar el tráfico a Snort2 o Snort3 para su posterior evaluación cuando se encuentra una regla de bloqueo que coincide;
    • tienen activado el registro de conexiones: 
      • Firepower 1000 Series
      • Serie Firepower 2100
      • Serie Firepower 4100
    • si están ejecutando el software FTD, versión 7.0.0 o versión 7.0.0.1 y tienen la función de interceptación TCP activada.
  • CISCO ASA si se dan alguna de estas condiciones:
    • El acceso a la gestión de HTTPS y los servicios de cliente IKEv2 están ambos habilitados en al menos una interfaz (no necesariamente la misma);
    • El acceso a la gestión HTTPS y WebVPN están ambos habilitados en al menos una interfaz (no necesariamente la misma).
  • CISCO ASA o FTD con alguna de estas condiciones:
    • con una configuración vulnerable de AnyConnect o WebVPN;
    • que tienen configurado Clientless SSL VPN; o con una configuración de acceso remoto VPN vulnerable;
    • que tienen activada la inspección de DNS;
    • que tienen una VPN IPsec IKEv2 (ya sea de acceso remoto o de LAN a LAN) utilizando un cifrado GCM configurado:
      • Dispositivos Firepower 4112, 4115, 4125 y 4145;
      • Dispositivos de seguridad Firepower 9300 con SM-40, SM-48 o SM-56.
Descripción

Cisco ha publicado varias vulnerabilidades de severidad alta de tipo denegación de servicio, desbordamiento de pila, divulgación de información, escalada de privilegios, y bypass de seguridad en la carga de archivos que afectan a dispositivos con el software ASA, FTD y FMC.

Solución

Cisco ha publicado actualizaciones y, en algunos casos soluciones alternativas, que abordan las vulnerabilidades descritas en este aviso.

En cualquier caso, Cisco advierte de que cada empresa debe asegurarse de que los dispositivos que se van a actualizar contienen suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. Ante cualquier duda, se aconseja a los clientes que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

Cisco_sello

Las vulnerabilidades que afectan al software FTD:

  • Una de ellas afecta a la función de evaluación de reglas Snort y podría permitir a un atacante remoto, no autenticado, provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.
  • Otra vulnerabilidad en la función de manejo de conexiones en el software podría permitir a un atacante remoto, no autenticado, provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.
  • Una tercera afecta a la integración del motor de detección Snort y podría permitir a un atacante remoto, no autenticado, provocar un consumo ilimitado de memoria, lo que podría llevar a una condición de denegación de servicio (DoS) en un dispositivo afectado.
  • Otra afecta a la funcionalidad del proxy TCP del software y podría permitir a un atacante remoto, no autentificado, desencadenar una condición de denegación de servicio (DoS).

Las vulnerabilidades que afectan al software ASA:

  • Afecta al gestor de la autenticación HTTP para los recursos a los que se accede a través del portal Clientless SSL VPN y podría permitir a un atacante remoto, autenticado, provocar una condición de denegación de servicio (DoS) en un dispositivo afectado u obtener partes de la memoria del proceso de un dispositivo afectado.

Las que afectan, tanto al software ASA como al software FTD:

  • Una de ellas afecta al acceso remoto VPN SSL y podría permitir a un atacante remoto, no autenticado, provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.
  • Otra a la interfaz de servicios web para las funciones VPN de acceso remoto y podría permitir a un atacante remoto, no autenticado, provocar una condición de denegación de servicio (DoS).
  • Otra afecta al gestor de inspección de DNS y podría permitir a un atacante remoto, no autentificado, provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.
  • Otra afecta a la biblioteca de VPN IPsec y podría permitir a un atacante remoto, no autentificado, leer o modificar datos dentro de un túnel VPN IPsec IKEv2.
  • Una vulnerabilidad en la interfaz de servicios web para las funciones de VPN de acceso remoto podría permitir a un atacante remoto, autenticado, pero sin privilegios, elevar los privilegios al nivel 15.

Las vulnerabilidades que afectan al software FMC:

  • Afecta al interfaz de gestión web y podría permitir a un atacante remoto, autentificado, eludir las protecciones de seguridad y cargar archivos maliciosos en el sistema afectado.

 

Línea de ayuda en ciberseguridad 017