Vulnerabilidad en Cisco Secure Firewall Adaptive Security Appliance y Cisco Secure Firewall Threat Defense (CVE-2025-20136)

Una vulnerabilidad en la función que realiza la inspección de DNS de la Traducción de Direcciones de Red (NAT) IPv4 e IPv6 para el software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD) podría permitir que un atacante remoto no autenticado reinicie el dispositivo inesperadamente, lo que resulta en una denegación de servicio (DoS). Esta vulnerabilidad se debe a un bucle infinito que se produce cuando un dispositivo Cisco Secure ASA o Cisco Secure FTD procesa paquetes DNS con la inspección de DNS habilitada y está configurado para NAT44, NAT64 o NAT46. Un atacante podría explotar esta vulnerabilidad enviando paquetes DNS manipulados que coincidan con una regla NAT estática con la inspección de DNS habilitada a través de un dispositivo afectado. Una explotación exitosa podría permitir al atacante crear un bucle infinito y provocar la recarga del dispositivo, lo que resulta en una denegación de servicio (DoS).