Albisteak

Cisco-ren hainbat produktutan eragina duten ahultasunak

Argitalpen-data: 

Laburpen exekutiboa

2025eko abuztuaren 14an, Cisco-k segurtasun abisu kritiko eta larri berri 13 argitaratu zituen, guztira 15 CVE izanik. Nabarmendu daitezkeen ahultasunen artean kodearen urruneko exekuzio akats larriak eta zerbitzu ukapeneko ahultasun anitzak daude. Ahultasun hauen CVSS puntuazioak 7.7tik 10.0ra doaz, hau da, ahultasun handi eta explotazio potentzial handi bat adieraziz. Cisco-k segurtasun zuzenketak lehenetsi egitea gomendatzen du, ahultasun hauen gehienentzat alternatiba soluzioak ez daudelako. Mitigazio neurri alternatiboak ez daudenean, segurtasun eguneraketen aplikazioa funtsezkoa da eragindako sistemak babesteko.

Eragindako baliabideak

  • Cisco Secure Firewall Management Center Software
  • Cisco Secure Firewall Threat Defense Software
  • Cisco Secure Firewall Adaptive Security Appliance
  • Cisco Secure Firewall Threat Defense Software for Firepower 2100 Series
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access VPN Web Server
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access SSL VPN
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software SSL/TLS Certificate
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Network Address Translation DNS Inspection
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server
  • Cisco IOS
  • Cisco IOS XE
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software IKEv2
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Web Services
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 3100 and 4200 Series TLS 1.3 Cipher

Azterketa teknikoa

  • CVE-2025-20265: Cisco Secure Firewall Management Center (FMC) softwarearen RADIUS azpisistemaren inplementazioan dagoen ahultasun batek erremoteko erasotzaile ez autentifikatu bati aukera emango lioke shell komando arbitrarioak injektatzea, gailuak exekutatuko dituenak.   ahultasun hau autentifikazio fasean erabiltzailearen sarrera egoki ez kudeatzea dela medio sortzen da. Erasotzaileak ahultasun hau explotatu dezake sarrera berezi batekin autentifikatzeko kredentzialak sartuz, RADIUS zerbitzari konfiguratuan. Explotazio arrakastatsua erasotzaileari komandoak exekutatzeko aukera emango lioke, pribilegio maila altuan. Oharra: ahultasun hau explotatzeko, Cisco Secure FMC softwarea web oinarriko kudeaketa interfazeko RADIUS autentifikaziorako konfiguratuta egon behar da, SSH kudeaketa, edo biak.
    • CWE-74
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20133: Cisco Secure Firewall ASA Software eta Secure FTD Software-ko kudeaketa eta VPN web zerbitzarien funtzioan dagoen ahultasun batek erremoteko erasotzaile ez autentifikatu bati aukera emango lioke gailua espero ez den moduan erantzuten uztea, DoS egoera bat sortuz. ahultasun hau Remote Access SSL VPN autentifikazio prozesuan erabiltzaileak emandako informazioaren baliozkotze ez-egokia dela medio sortzen da. Erasotzaileak ahultasun hau explotatu dezake eskaera bat diseinatuz eta gailu eragindakoari bidaliz. Explotazio arrakastatsua erasotzaileari aukera emango lioke DoS egoera bat sortzea, non gailuak Remote Access SSL VPN autentifikazio eskaeretan erantzuten uzten duen.
    • CWE-401
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20136: Cisco Secure ASA Firewall-aren softwarearen eta Cisco Secure FTD Firewall-aren softwarearen Sare Helbide Itzulpen (NAT) IPv4 eta IPv6-ko DNS inspekzioa egiten duen funtzioan dagoen kalteberatasun batek erremoteko erasotzaile ez autentifikatu bati aukera emango lioke gailua espero ez den moduan berrabiaraztea, zerbitzu ukapen egoera (DoS) bat sortuz. Kalteberatasun hau bukaera gabeko begizta egoera bat sortzen dela medio gertatzen da, Cisco Secure ASA edo Cisco Secure FTD gailu batek DNS paketeak prozesatzen dituenean, DNS inspekzioa gaituta dagoenean eta gailua NAT44, NAT64 edo NAT46 konfiguratu dagoenean. Erasotzaileak kalteberatasun hau explotatu dezake DNS pakete manipulatuak bidaliz, NAT estatikoaren arau batekin bat datozenak, eta DNS inspekzioa gaituta dagoen gailu eragindako bidez. Explotazio arrakastatsua erasotzaileari aukera emango lioke bukaera gabeko begizta bat sortzea eta gailua berrabiaraztea, DoS egoera bat sortuz.
    • CWE-835
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20222: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwareko eta Cisco Secure Firewall Threat Defense (FTD) softwareko IPsec VPN funtzioaren RADIUS proxy funtzioan dagoen kalteberatasun batek urruneko erasotzaile ez autentifikatu bati aukera emango lioke zerbitzu-ukapen (DoS) egoera bat eragiteko. Kalteberatasun hau IPv6 paketeen prozesamendu okerragatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake IPsec VPN konexio baten bidez IPv6 paketeak bidaliz gailu kaltetu batera. Eraso arrakastatsu batek gailua berrabiaraztea eragin dezake, DoS egoera bat sortuz.
    • CWE-120
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20217: Cisco Secure Firewall Threat Defense (FTD) softwareko Snort 3 Detekzio Motorreko paketeen ikuskapen funtzionalitatean dagoen kalteberatasun batek urruneko eta ez autentifikatutako erasotzaile bati aukera emango lioke gailu kaltetu batean zerbitzu-ukapen (DoS) egoera bat eragiteko. Kalteberatasun hau gailu kaltetu batek ikuskatutako trafikoaren prozesamendu okerragatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake trafiko manipulatua bidaliz gailuaren bidez. Explotazio arrakastatsu batek gailua trafikoa ikuskatzen ari den bitartean buelta infinitu batean sartzea eragin dezake, DoS egoera bat sortuz. Sistemaren zaintzaileak Snort prozesua automatikoki berrabiaraziko du.
    • CWE-835
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20239: Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance (ASA) eta Secure Firewall Threat Defense (FTD) softwareetako Internet Key Exchange Version 2 (IKEv2) funtzioan dagoen kalteberatasun batek urruneko erasotzaile ez autentifikatu bati memoria-ihes bat eragiteko aukera emango lioke, zerbitzu-ukapen (DoS) egoera bat sortuz. Kalteberatasun hau IKEv2 paketeen prozesamendu egokirik ezagatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake IKEv2 pakete landuak bidaliz gailu kaltetu batera. Cisco IOS eta IOS XE softwareen kasuan, exploit arrakastatsu batek gailua ustekabean berrabiaraztea eragin dezake. Cisco ASA eta FTD softwareen kasuan, exploit arrakastatsu batek sistemaren memoria partzialki agortzea eragin dezake, sistemaren egonkortasunik eza sortuz, adibidez, IKEv2 VPN saio berriak ez ezartzea. Gailua eskuz berrabiarazi behar da egoera honetatik berreskuratzeko.
    • CWE-401
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20243: Cisco Secure Firewall ASA Software eta Secure FTD Software-ko kudeaketa eta VPN zerbitzarietan dagoen kalteberatasun batek urruneko erasotzaile ez autentifikatu bati aukera emango lioke gailua ustekabean berrabiaraztea, DoS egoera bat sortuz. Kalteberatasun hau erabiltzaileak web VPN zerbitzu interfaze batean emandako sarreraren baliozkotze okerragatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake HTTP eskaera manipulatua bidaliz gailu kaltetu bateko web zerbitzari batera. Exploit arrakastatsu batek erasotzaileari DoS egoera bat eragiteko aukera emango lioke gailua berrabiarazten denean.
    • CWE-835
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20263: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwarearen eta Cisco Secure Firewall Threat Defense (FTD) softwarearen web zerbitzu interfazean dagoen kalteberatasun batek urruneko erasotzaile ez autentifikatu bati aukera emango lioke gailu kaltetu batean buffer gainezkatze bat eragiteko. Kalteberatasun hau gailu kaltetu baten web zerbitzu interfazeari emandako datu espezifikoetarako muga-kontrol nahikorik ezagatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake HTTP eskaera manipulatua bidaliz gailu kaltetu batera. Eraso arrakastatsu batek erasotzaileari gailu kaltetu batean buffer gainezkatze egoera bat eragiteko aukera emango lioke, eta horrek sistema berrabiaraztea eragin dezake, DoS egoera bat sortuz.
    • CWE-680
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20134: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwareko eta Cisco Secure Firewall Threat Defense (FTD) softwareko ziurtagirien prozesamenduan dagoen kalteberatasun batek urruneko erasotzaile ez autentifikatu bati aukera emango lioke gailua ustekabean berrabiarazteko, DoS egoera bat sortuz. Kalteberatasun hau SSL/TLS ziurtagirien analisi okerragatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake SSL/TLS socket batean entzuten ari den sistema kaltetu bati manipulatutako SSL/TLS ziurtagiri bat bidaliz. Eraso arrakastatsu batek gailua berrabiaraztea eragin dezake, DoS egoera bat sortuz.
    • CWE-415
    • CVSS: 8.6 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20148: Cisco Secure Firewall Management Center (FMC) softwareko web bidezko kudeaketa-interfazean dagoen kalteberatasun batek urruneko erasotzaile autentifikatu bati aukera emango lioke HTML eduki arbitrarioa txertatzeko gailuak sortutako dokumentu batean. Kalteberatasun hau erabiltzaileak emandako datuen baliozkotze okerragatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake eduki maltzurra sistema kaltetu batera bidaliz eta gailuak informazio sentikorra duen dokumentu bat sortzeko erabiliz. Explotazio arrakastatsu batek erasotzaileari aukera emango lioke dokumentuen diseinu estandarra aldatzeko, azpiko sistema eragileko fitxategi arbitrarioak irakurtzeko eta zerbitzariaren eskaeren faltsutze (SSRF) erasoak egiteko. Kalteberatasun hau exploitatzea lortzeko, erasotzaileak gutxienez Segurtasun Analista (Irakurketa soilik) rola duen erabiltzaile kontu baten kredentzial baliodunak izan behar ditu.
    • CWE-20
    • CVSS: 8.5 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
    • Explotazioa: Ez da antzeman
  • CVE-2025-20251: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwareko eta Cisco Secure Firewall Threat Defense (FTD) softwareko Remote Access SSL VPN zerbitzuan dagoen kalteberatasun batek urruneko erasotzaile autentifikatu bati aukera emango lioke azpiko sistema eragilean fitxategi arbitrarioak sortu edo ezabatzeko. Sistema kritikoetako fitxategiak manipulatzen badira, Remote Access SSL VPN saio berriak ukatu daitezke eta lehendik dauden saioak eten, DoS egoera bat sortuz. Gailu exploitatua eskuz berrabiarazi behar da egoera honetatik berreskuratzeko. Kalteberatasun hau HTTP eskaerak prozesatzean sarrerako datuen baliozkotze eskasagatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake sistema kaltetu batera manipulatutako HTTP eskaerak bidaliz. Explotazio arrakastatsu batek erasotzaileari aukera emango lioke azpiko sistema eragilean fitxategiak sortu edo ezabatzeko, eta horrek Remote Access SSL VPN zerbitzua erantzunik gabe uztea eragin dezake. Kalteberatasun hau exploitatzea lortzeko, erasotzailea VPN erabiltzaile gisa autentifikatuta egon behar da gailu kaltetu batean.
    • CWE-1287
    • CVSS: 8.5 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20244: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwareko eta Cisco Secure Firewall Threat Defense (FTD) softwareko Remote Access SSL VPN zerbitzuan dagoen kalteberatasun batek urruneko erasotzaile autentifikatu bati, VPN erabiltzaile gisa, gailua ustekabean berrabiaraztea eragin diezaioke, DoS egoera bat sortuz. Kalteberatasun hau HTTP goiburu-eremu baten balioa analizatzean erroreak egiaztatzeko prozesu osatugabe baten ondorioz sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake Remote Access SSL VPN zerbitzuari HTTP eskaera manipulatua bidaliz gailu kaltetu batean. Explotazio arrakastatsu batek erasotzaileari DoS egoera bat eragiteko aukera emango lioke, gailua berrabiaraziz.
    • CWE-1287
    • CVSS: 7.7 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-20127: Cisco Secure Firewall Adaptive Security Appliance (ASA) softwareko eta Cisco Secure Firewall Threat Defense (FTD) softwareko TLS 1.3 inplementazioan dagoen kalteberatasun batek, Cisco Firepower 3100 eta 4200 serieetako gailuetarako, urruneko erasotzaile autentifikatu bati TLS 1.3 konexio sarrerako baliabideak kontsumitzea ahalbidetu diezaioke, eta horrek gailuak SSL/TLS edo VPN eskaera berriak onartzeari uztea eragin dezake. Kalteberatasun hau TLS 1.3 TLS_CHACHA20_POLY1305_SHA256 zifratze-algoritmoaren inplementazioagatik sortzen da. Erasotzaile batek kalteberatasun hau exploita dezake TLS 1.3 konexio ugari bidaliz zifratze zehatz horrekin. Explotazio arrakastatsu batek DoS egoera bat eragin dezake, non gailuak ez dituen konexio sarrerako zifratutako berriak onartzen. Gailua berrabiarazi behar da egoera hau konpontzeko. Oharra: TLS 1.3 konexio sarrerako hauek datu-trafikoa eta erabiltzaileen kudeaketa-trafikoa barne hartzen dute. Gailua egoera kalteberan dagoenean, ez dira konexio zifratutako berriak onartzen.
    • CWE-404
    • CVSS: 7.7 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman

Arintzea/Konponbidea

Zerrendatutako kalteberatasun guztientzat, fabrikatzaileak adierazi du ez dagoela alternatiba konponbiderik argitalpen datetan. Erabiltzaileei eta sistemaren administratzaileei gomendatzen zaie softwarearen eguneraketak eta adabakiak ahalik eta azkarren aplikatzea. Nahiz eta jasotako edukian zehazki aipatzen ez diren, adabakiak normalean fabrikatzailearen laguntza atarian edo eguneraketa automatikoen sistemaren bidez eskuragarri daude. Konponbideak ezartzeko jarraibide tekniko zehatzak lortzeko, kontsultatu laguntza teknikoaren baliabideak eta fabrikatzailearen lineako dokumentazioa.

Erreferentzia gehigarriak