1. Avisos de seguridad
  2. Vulnerabilidades de severidad Alta en dispositivos CISCO
Fecha de publicación: Mié, 17/08/2022 - 09:26

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Cisco lanzó parches para mitigar múltiples vulnerabilidades en su software que podrían ser objeto de explotación y exponer información confidencial de dispositivos afectados.

La vulnerabilidad, a la que se le asignó el identificador CVE-2022-20866 (puntaje CVSS: 7.4), se describió como un "error lógico" al utilizar claves RSA en dispositivos que ejecutan software Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD).

La explotación exitosa de la vulnerabilidad podría permitir que el atacante recupere la clave privada RSA por medio de un "ataque de canal lateral de Lenstra" contra el dispositivo objetivo. Si un atacante obtiene la clave, podría utilizarla para suplantar la identidad de un dispositivo que ejecuta el software Cisco ASA, Cisco FTD o para descifrar el tráfico del dispositivo.


Cisco señaló que la vulnerabilidad solo afecta a las versiones 9.16.1 y posteriores de Cisco ASA y las versiones 7.0.0 y posteriores de Cisco FTD. Todas las versiones anteriores no se ven afectadas. Si un cliente ejecuta la versión 9.15, o anterior, de Cisco ASA o la versión 6.7, o anterior, de Cisco FTD, el dispositivo no se considera vulnerable "siempre que ninguna de las claves RSA presentes en el dispositivo hayan sido generadas por una versión vulnerable".


La compañía también informó de la vulnerabilidad CVE-2022-20713 (puntuación CVSS: 4.3) que afecta a los dispositivos que ejecutan una versión de Cisco ASA anterior a la versión 9.17(1) y tengan habilitada la función Clientless SSL VPN. Se trata de una vulnerabilidad de contrabando de solicitudes del lado del cliente en el componente "Clientless SSL VPN (WebVPN)" de Cisco Adaptive Security Appliance (ASA) que podría permitir que un atacante remoto no autenticado realice ataques basados ​​en el navegador contra la víctima, como Cross-Site Scripting (XSS).

Aún no existen actualizaciones para corregir esta vulnerabilidad, sin embargo Cisco recomienda a sus usuarios considerar deshabilitar la función Clientless SSL VPN, aunque advierte que hacerlo podría afectar la funcionalidad o el rendimiento de la red.

La empresa de ciberseguridad Rapid7 reveló detalles de 10 errores encontrados en ASA, Adaptive Security Device Manager (ASDM) y FirePOWER Services Software para ASA, siete de los cuales ya han sido abordados por Cisco.

Estos incluyen CVE-2022-20829 (puntaje CVSS: 9.1), CVE-2022-20651 (puntaje CVSS: 5.5), CVE-2021-1585 (puntaje CVSS: 7.5), CVE-2022-20828 (puntaje CVSS: 6.5), y otras tres vulnerabilidades a las que no se les ha asignado un identificador CVE.

 

Recursos afectados

CVE-2022-20866

  • ASA 5506-X con servicios FirePOWER
  • ASA 5506H-X con servicios FirePOWER
  • ASA 5506W-X con servicios FirePOWER
  • ASA 5508-X con servicios FirePOWER
  • ASA 5516-X con servicios FirePOWER
  • Firewalls de última generación de la serie Firepower 1000
  • Dispositivos de seguridad de la serie Firepower 2100
  • Dispositivos de seguridad de la serie Firepower 4100
  • Dispositivos de seguridad de la serie Firepower 9300
  • Firewall Secure 3100

La vulnerabilidad afecta a las versiones 9.16.1  de Cisco ASA y versiones 7.0.0 y posteriores de Cisco FTD.

Todas las versiones anteriores no se ven afectadas. Si un cliente ejecuta la versión 9.15, o anterior, de Cisco ASA o la versión 6.7, o anterior, de Cisco FTD, el dispositivo no se considera vulnerable "siempre que ninguna de las claves RSA presentes en el dispositivo haya sido generada por una versión vulnerable".

CVE-2022-20713 

Afecta a los dispositivos que ejecutan una versión de Cisco ASA anterior a la versión 9.17(1) y tengan habilitada la función Clientless SSL VPN.

 

Solución

CVE-2022-20866

Para mitigar la vulnerabilidad, se lanzaron las versiones 9.16.3.19, 9.17.1.13 y 9.18.2 para Cisco ASA y las versiones 7.0.4, 7.1.0.2-2 y 7.2.0.1 para Cisco FTD. 

CVE-2022-20713 

Aún no existen actualizaciones para corregir esta vulnerabilidad, sin embargo los usuarios afectados pueden considerar deshabilitar la función Clientless SSL VPN, aunque Cisco advierte que hacerlo podría afectar la funcionalidad o el rendimiento de la red.

 

Recomendaciones

Revisar las notas de versión de las actualizaciones y proceder conforme a las recomendaciones de Cisco para cada actualización.

CVE-2022-20866

Es posible bajar a una versión no vulnerable (por ejemplo, se actualizó a la versión 9.16.1 y luego se bajo a la versión 9.14.3.18), las claves RSA en la versión no vulnerable podrían estar mal generadas o ser susceptibles porque se guardaron en una versión vulnerable. Si un dispositivo Cisco ASA se ha actualizado y después se bajó la versión, asegúrese de que las claves RSA sean válidas. 

De la misma manera, si un dispositivo FTD se actualizó a una versión vulnerable y luego se bajó a una versión no vulnerable (por ejemplo, se actualizó a la versión 7.0.0 y luego se bajó a la versión 6.4.0.15), las claves RSA en la versión no vulnerable podrían estar mal generadas o ser susceptibles porque se guardaron en una versión vulnerable. Si un dispositivo Cisco FTD se ha actualizado y se bajó la versión, asegúrese de que las claves RSA sean válidas.  

CVE-2022-20713 

Se recomienda determinar la aplicabilidad en el propio entorno y bajo las condiciones de uso, ya que al deshabilitar la función Clientless SSL VPN se podría afectar la funcionalidad o el rendimiento de la red. 

Referencias

Cisco parcha vulnerabilidades de alta severidad que afectan dispositivos ASA y Firepower