CCN-CERT AV 07/24 Actualizaciones de seguridad para productos Cisco

Fecha de publicación: 26/04/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de dos avisos de seguridad por parte del fabricante Cisco, en los que se destacan dos vulnerabilidades que afectan a sus productos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD). La explotación exitosa de estas vulnerabilidades permitiría la ejecución de código remota como root, así como desencadenar una condición de denegación de servicio (DoS).

Además, se ha constatado que las vulnerabilidades anteriores están siendo explotadas activamente por el actor de amenazas UAT4356 en el contexto de una campaña de distribución de malware.

A continuación se detallan las especificaciones técnicas relativas a las vulnerabilidades reportadas por Cisco calificadas con severidad alta.

CVE-2024-20359: Vulnerabilidad que se debe a una validación incorrecta de un archivo cuando se lee de la memoria flash del sistema que permitía la precarga de clientes y complementos VPN. Un atacante local autenticado podría copiar un archivo manipulado en el sistema de archivos disk0: y ejecutar código arbitrario con privilegios de root después de la siguiente recarga del dispositivo. Adicionalmente, el código inyectado podría persistir a través de reinicios del dispositivo. No obstante, se requieren privilegios de administrador para explotar esta vulnerabilidad.
CVE-2024-20353: Vulnerabilidad debida a una comprobación de errores incompleta al analizar un encabezado de HTTP. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un servidor web y realizar un ataque en el cual el dispositivo se recargue inesperadamente, lo que resulta en una condición de denegación de servicio (DoS).

La base de datos del NIST ha registrado las vulnerabilidades descritas, sin embargo, aún no se les ha asignado una puntuación de acuerdo con la escala CVSSv3, puesto que continúan en proceso de análisis. No obstante, el fabricante Cisco ha clasificado los fallos con una severidad media en el primer caso (puntuación de 6.0) y alta en el segundo (puntuación de 8.6).

Entre otros aspectos de interés, es preciso indicar que la explotación de la vulnerabilidad CVE-2024-20359, de menor puntuación, sólo puede efectuarse una vez que el ciberdelincuente haya obtenido privilegios elevados dentro del sistema objetivo; mientras que la explotación de la vulnerabilidad CVE-2024-20353 no presenta esta necesidad, circunstancias que probablemente hayan motivado la diferencia existente en la asignación de la puntuación de cada una.

Recursos afectados

La vulnerabilidad CVE-2024-20359 afecta a los productos Cisco si ejecutan una versión vulnerable del software Cisco ASA o del software FTD, sin que se requiera ninguna configuración específica. Así mismo, CVE-2024-20353 afecta al software Cisco ASA y al software FTD si tienen una o más de las configuraciones vulnerables que se enumeran a continuación.

Por su parte, el fabricante indica que las siguientes configuraciones pueden ser potencialmente vulnerables para Cisco FTD:

La función AnyConnect IKEv2 Remote Access (con servicios clientes), si tiene configurado: crypto ikev2 enable [...] client-services port.
La función AnyConnect SSL VPN, si tiene configurado: webvpn / enable.
La función HTTP Server enabled, si tiene configurado: http server enable / http.

El fabricante indica que las siguientes configuraciones pueden ser potencialmente vulnerables para Cisco ASA:

La función AnyConnect IKEv2 Remote Access (con servicios clientes), si tiene configurado: crypto ikev2 enable [...] client-services port.
La función Local Certificate Authority (CA), si tiene configurado: crypto ca server / no shutdown.
La función Management Web Server Access (incluyendo ASDM y CSM), si tiene configurado: http server enable / http.
La función Mobile User Security (MUS), si tiene configurado: webvpn / mus password / mus server enable port / mus.
La función REST API, si tiene configurado: rest-api image disk0:/rest-api agent.
La función SSL VPN, si tiene configurado: webvpn / enable.

Para determinar si un dispositivo puede ser vulnerable debe emplearse el siguiente comando:

show asp table socket | include SSL

Tras esto, debe buscarse un socket de escucha SSL en cualquier puerto TCP. Si aparece un socket en la salida, el dispositivo debe considerarse vulnerable.

Solución a las vulnerabilidades

Desde la propia compañía habitualmente se publican actualizaciones de software gratuitas que solucionan sus vulnerabilidades. Los clientes con contrato directo con la entidad simplemente deberán esperar a recibirlas de forma automática en función de la licencia de la que dispongan a través de los canales de actualización habituales.

En el caso de los clientes con productos Cisco adquiridos a través de terceros, deberán obtener estas actualizaciones contactando previamente con el TAC de Cisco mediante el siguiente enlace:

Cisco TAC

En cualquier caso, el equipo de seguridad de Cisco recomienda actualizar los diferentes productos para mitigar el impacto que puedan generar los fallos reportados en los dispositivos vulnerables:

Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Además, resulta conveniente desactivar servicios y puertos innecesarios en los dispositivos de red perimetral, cambiar las credenciales que se hubiesen establecido por defecto, implementar medidas de control de acceso y autenticación multifactor (MFA) y configurar firewalls con el fin de filtrar el tráfico no autorizado.

Referencias