Laburpen exekutiboa
Cisco produktuetako 3 ahultasun larri identifikatu dira, eta horietatik 2 aktiboki ustiatzen ari dira. Zehazki, ahultasun kritikoak detektatu dira, eta horiek kode arbitrarioa exekutatzea ahalbidetzen dute eragindako gailuetan, bai autentifikatutako erasotzaileek, bai autentifikatu gabeek. Ahultasun horien eragin potentzialik larriena gailuaren konpromiso osoa izan daiteke, sareko azpiegitura arriskuan jarriz. Kontuan hartuta 2 ahultasun ustiatzen ari direla, mehatxua berehalakoa da eta premiazko ekintza eskatzen du ustiapen posible oro arintzeko.
Eragindako baliabideak
- Secure Firewall Adaptive Security Appliance (ASA) Software (Bertsio zehaztugabea)
- Secure Firewall Threat Defense (FTD) Software (Bertsio zehaztugabea)
- IOS Software (Bertsio zehaztugabea)
- IOS XE Software (Bertsio zehaztugabea)
- IOS XR Software (Bertsio zehaztugabea)
Azterketa teknikoa
- CVE-2025-20333: Cisco Secure Firewall ASA eta FTD web zerbitzarian ahultasun bat dago, eta horrek autentifikatutako erasotzaile bati kode arbitrarioa exekutatzea ahalbidetzen dio eragindako gailuan. Honek gailuaren konpromiso osoa ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak VPN erabiltzaile kredentzial baliotsuak izan behar ditu eta HTTP eskaera egokituak bidaliz egin dezake.
- CWE-120
- CVSS: 9.9 (kritikoa)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Esplotazioa: Detektatua
- CVE-2025-20363: Cisco Secure Firewall ASA, FTD, Cisco IOS, IOS XE eta IOS XR web zerbitzuetan ahultasun bat dago, eta horrek autentifikatu gabeko erasotzaile bati (edo pribilegio baxuak dituen autentifikatu bati) kode arbitrarioa exekutatzea ahalbidetu diezaioke eragindako gailuan. Ahultasun honen eragina gailuaren konpromiso osoan amaitu daiteke. Ahultasun hau esplotatzeko, erasotzaileak manipulatutako HTTP eskaerak bidali behar ditu eta sistema buruzko informazio gehigarria izan behar du.
- CWE-122
- CVSS: 9.0 (kritikoa)
- CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-20362: Cisco Secure Firewall Adaptive Security Appliance (ASA) eta Cisco Secure Firewall Threat Defense (FTD) web zerbitzarian ahultasun bat dago, eta horrek autentifikatu gabeko erasotzaile bati autentifikaziorik gabe URL mugatuetara sartzea ahalbidetzen dio. Arazo hau erabiltzaileak HTTP(S) eskaeretan emandako sarrerak behar bezala balioztatu ez izatearen ondorio da. Ahultasun hau esplotatzeko, erasotzaileak eragindako gailuaren web zerbitzariari egokitutako HTTP eskaerak bidali behar ditu.
- CWE-862
- CVSS: 6.5 (ertaina)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
- Esplotazioa: Detektatua
Arintzea/Konponbidea
Cisco-k gomendatzen du neurri nagusi gisa software ahuldua bertsio zuzendura eguneratzea, CVE-2025-20333, CVE-2025-20362 eta CVE-2025-20363 ahultasunak arintzeko Cisco Secure Firewall ASA, Secure FMC eta Secure FTD produktuetako. Aldi baterako konponbideak badaude, hala nola arintze-neurriak eta alternatibak, hauek ez dute ordezkatzen eguneraketa definitibo bat aplikatzeko beharra. Eraginaren identifikazioa eta zuzenketa egokia errazteko, Cisco-k bezeroen eskura jartzen du Cisco Software Checker tresna, zeinak softwarearen bertsio zehatz batek jasaten dituen segurtasun-oharrak identifikatzen dituen eta ahultasun bakoitza banaka edo guztiak batera konpontzen dituen lehen bertsioa adierazten duen.