Actualizaciones de seguridad para dos productos Cisco

Crítica Alerta 5

Introducción

Se han detectado dos vulnerabilidades que afectan a:

La explotación exitosa de estas vulnerabilidades permitiría la ejecución de código remota como root, así como desencadenar una condición de denegación de servicio (DoS).

Además, se ha constatado que las vulnerabilidades anteriores están siendo explotadas activamente por el actor de amenazas UAT4356 en el contexto de una campaña de distribución de malware.

A continuación se detallan las especificaciones técnicas relativas a las vulnerabilidades reportadas por Cisco calificadas con severidad alta.

  • CVE-2024-20359:
    Vulnerabilidad que se debe a una validación incorrecta de un archivo cuando se lee de la memoria flash del sistema que permitía la precarga de clientes y complementos VPN. Un atacante local autenticado podría copiar un archivo manipulado en el sistema de archivos disk0: y ejecutar código arbitrario con privilegios de root después de la siguiente recarga del dispositivo. Adicionalmente, el código inyectado podría persistir a través de reinicios del dispositivo. No obstante, se requieren privilegios de administrador para explotar esta vulnerabilidad.
  • CVE-2024-20353:
    Vulnerabilidad debida a una comprobación de errores incompleta al analizar un encabezado de HTTP. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un servidor web y realizar un ataque en el cual el dispositivo se recargue inesperadamente, lo que resulta en una condición de denegación de servicio (DoS).

Recursos afectados

La vulnerabilidad CVE-2024-20359 afecta a los productos Cisco si ejecutan una versión vulnerable del software Cisco ASA o del software FTD, sin que se requiera ninguna configuración específica. Así mismo, CVE-2024-20353 afecta al software Cisco ASA y al software FTD si tienen una o más de las configuraciones vulnerables que se enumeran a continuación.

Por su parte, el fabricante indica que las siguientes configuraciones pueden ser potencialmente vulnerables para Cisco FTD:

  • La función AnyConnect IKEv2 Remote Access (con servicios clientes), si tiene configurado: crypto ikev2 enable […] client-services port.
  • La función AnyConnect SSL VPN, si tiene configurado: webvpn / enable.
  • La función HTTP Server enabled, si tiene configurado: http server enable / http.

El fabricante indica que las siguientes configuraciones pueden ser potencialmente vulnerables para Cisco ASA:

  • La función AnyConnect IKEv2 Remote Access (con servicios clientes), si tiene configurado: crypto ikev2 enable […] client-services port.
  • La función Local Certificate Authority (CA), si tiene configurado: crypto ca server / no shutdown.
  • La función Management Web Server Access (incluyendo ASDM y CSM), si tiene configurado: http server enable / http.
  • La función Mobile User Security (MUS), si tiene configurado: webvpn / mus password / mus server enable port / mus.
  • La función REST API, si tiene configurado: rest-api image disk0:/rest-api agent.
  • La función SSL VPN, si tiene configurado: webvpn / enable.

Para determinar si un dispositivo puede ser vulnerable debe emplearse el siguiente comando:

  • show asp table socket | include SSL

Tras esto, debe buscarse un socket de escucha SSL en cualquier puerto TCP. Si aparece un socket en la salida, el dispositivo debe considerarse vulnerable.

Solución

Cisco habitualmente se publica actualizaciones de software gratuitas que solucionan sus vulnerabilidades. Los clientes con contrato directo con la entidad simplemente deberán esperar a recibirlas de forma automática en función de la licencia de la que dispongan a través de los canales de actualización habituales. 

En el caso de los clientes con productos Cisco adquiridos a través de terceros, deberán obtener estas actualizaciones contactando previamente con el TAC de Cisco mediante el siguiente enlace:

En cualquier caso, el equipo de seguridad de Cisco recomienda actualizar los diferentes productos para mitigar el impacto que puedan generar los fallos reportados en los dispositivos vulnerables:

Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades.

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Además, resulta conveniente desactivar servicios y puertos innecesarios en los dispositivos de red perimetral, cambiar las credenciales que se hubiesen establecido por defecto, implementar medidas de control de acceso y autenticación multifactor (MFA) y configurar firewalls con el fin de filtrar el tráfico no autorizado.

Referencias

Recibe las alertas de seguridad a tu email:
Comparte esta alerta de seguridad:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Mantente informado, recíbelas en tu email
Consulta las últimas alertas