Noticias

Vulnerabilidades de impacto en varios productos de Cisco

Fecha de publicación: 

Resumen ejecutivo

El 14 de agosto de 2025, Cisco publicó 13 nuevos avisos de seguridad críticos y de alta gravedad, abarcando un total de 15 CVEs. Entre las vulnerabilidades identificadas se destacan graves fallos de ejecución remota de código y múltiples vulnerabilidades de denegación de servicio. Las puntuaciones CVSS de estas vulnerabilidades van desde 7.7 hasta el máximo posible de 10.0, indicando un alto nivel de gravedad y potencial de explotación. Cisco recomienda aplicar los parches de seguridad correspondientes de forma prioritaria, dada la falta de soluciones alternativas para la mayoría de estas vulnerabilidades. Al no estar disponibles medidas de mitigación alternativas, la aplicación de estas actualizaciones de seguridad es esencial para proteger los sistemas afectados.

Recursos afectados

  • Cisco Secure Firewall Management Center Software
  • Cisco Secure Firewall Threat Defense Software
  • Cisco Secure Firewall Adaptive Security Appliance
  • Cisco Secure Firewall Threat Defense Software for Firepower 2100 Series
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access VPN Web Server
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access SSL VPN
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software SSL/TLS Certificate
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Network Address Translation DNS Inspection
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server
  • Cisco IOS
  • Cisco IOS XE
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software IKEv2
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Web Services
  • Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 3100 and 4200 Series TLS 1.3 Cipher

Análisis técnico

  • CVE-2025-20265: Una vulnerabilidad en la implementación del subsistema RADIUS del software Cisco Secure Firewall Management Center (FMC) podría permitir a un atacante remoto no autenticado inyectar comandos shell arbitrarios que son ejecutados por el dispositivo.   Esta vulnerabilidad se debe a una falta de manipulación adecuada de la entrada del usuario durante la fase de autenticación. Un atacante podría explotar esta vulnerabilidad enviando una entrada especialmente diseñada al introducir las credenciales que serán autenticadas en el servidor RADIUS configurado. Un explotación exitosa podría permitir al atacante ejecutar comandos con un alto  nivel de privilegio. Nota: Para que esta vulnerabilidad sea explotada, el software Cisco Secure FMC debe estar configurado para la autenticación RADIUS para la interfaz de gestión basada en web, la gestión SSH, o ambas.
    • CWE-74
    • CVSS: 10.0 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-20133: Una vulnerabilidad en los servidores de administración y VPN web de la función de VPN SSL de Acceso Remoto de Cisco Secure Firewall ASA Software y Secure FTD Software podría permitir a un atacante remoto no autenticado hacer que el dispositivo deje de responder de manera inesperada, resultando en una condición de DoS. Esta vulnerabilidad se debe a una validación ineficaz de la información de entrada proporcionada por el usuario durante el proceso de autenticación de la VPN SSL de Acceso Remoto. Un atacante podría explotar esta vulnerabilidad enviando una solicitud diseñada a la servicio VPN en un dispositivo afectado. Un exploit exitoso podría permitir al atacante causar una condición de DoS donde el dispositivo deje de responder a las solicitudes de autenticación de la VPN SSL de Acceso Remoto.
    • CWE-401
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20136: Una vulnerabilidad en la función que realiza la inspección DNS de la Traducción de Direcciones de Red (NAT) IPv4 e IPv6 para el software de la Aplicación de Seguridad Adaptativa (ASA) del Firewall Secure de Cisco y el software Firewall Secure Threat Defense (FTD) de Cisco podría permitir a un atacante remoto no autenticado hacer que el dispositivo se reinicie de manera inesperada, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una condición de bucle infinito que ocurre cuando un dispositivo Cisco Secure ASA o Cisco Secure FTD procesa paquetes DNS con la inspección DNS habilitada y el dispositivo está configurado para NAT44, NAT64 o NAT46. Un atacante podría explotar esta vulnerabilidad enviando paquetes DNS manipulados que coinciden con una regla de NAT estático con la inspección DNS habilitada a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante crear un bucle infinito y hacer que el dispositivo se reinicie, resultando en una condición DoS.
    • CWE-835
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20222: Una vulnerabilidad en la función de proxy RADIUS para la función de VPN IPsec del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y del software Cisco Secure Firewall Threat Defense (FTD) podría permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un procesamiento incorrecto de paquetes IPv6. Un atacante podría explotar esta vulnerabilidad enviando paquetes IPv6 a través de una conexión VPN IPsec a un dispositivo afectado. Un ataque exitoso podría permitir al atacante provocar una recarga del dispositivo, resultando en una condición de DoS.
    • CWE-120
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20217: Una vulnerabilidad en la funcionalidad de inspección de paquetes del Motor de Detección Snort 3 del Software de Defensa contra Amenazas de Firewall Seguro de Cisco (FTD) podría permitir a un atacante remoto y no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un procesamiento incorrecto del tráfico que es inspeccionado por un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando tráfico manipulado a través del dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo afectado entre en un bucle infinito mientras inspecciona el tráfico, resultando en una condición de DoS. El vigilante del sistema reiniciará automáticamente el proceso de Snort.
    • CWE-835
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20239: Una vulnerabilidad en la función Internet Key Exchange Version 2 (IKEv2) del software Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance (ASA) y Secure Firewall Threat Defense (FTD) podría permitir a un atacante remoto no autenticado desencadenar una fuga de memoria, lo que resulta en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a la falta de un procesamiento adecuado de los paquetes IKEv2. Un atacante podría explotar esta vulnerabilidad enviando paquetes IKEv2 cuidadosamente diseñados a un dispositivo afectado. En el caso del software Cisco IOS y IOS XE, un exploit exitoso podría permitir al atacante causar que el dispositivo se reinicie inesperadamente. En el caso del software Cisco ASA y FTD, un exploit exitoso podría permitir al atacante agotar parcialmente la memoria del sistema, causando inestabilidad del sistema, como no poder establecer nuevas sesiones de VPN IKEv2. Se requiere un reinicio manual del dispositivo para recuperarse de esta condición.
    • CWE-401
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20243: Una vulnerabilidad en los servidores de administración y VPN de Cisco Secure Firewall ASA Software y Secure FTD Software podría permitir a un atacante remoto no autenticado, provocar que el dispositivo se reinicie de forma inesperada, resultando en una condición de DoS. Esta vulnerabilidad se debe a una validación incorrecta de la entrada proporcionada por el usuario en una interfaz con servicios web VPN. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas a un servidor web objetivo en un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar una condición de DoS cuando el dispositivo se reinicia.
    • CWE-835
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20263: Una vulnerabilidad en la interfaz de servicios web del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD) podría permitir a un atacante remoto no autenticado, provocar un desbordamiento de búfer en un sistema afectado. Esta vulnerabilidad se debe a controles de límites insuficientes para datos específicos que se proporcionan a la interfaz de servicios web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada al sistema afectado. Un ataque exitoso podría permitir al atacante causar una condición de desbordamiento de búfer en el sistema afectado, lo que podría hacer que el sistema se reinicie, provocando una condición de denegación de servicio (DoS).
    • CWE-680
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20134: Una vulnerabilidad en el procesamiento de certificados del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD) podría permitir a un atacante remoto no autenticado hacer que el dispositivo se reinicie de manera inesperada, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un análisis incorrecto de los certificados SSL/TLS. Un atacante podría explotar esta vulnerabilidad enviando un certificado SSL/TLS manipulado a un sistema afectado a través de un socket SSL/TLS en escucha. Un ataque exitoso podría permitir al atacante hacer que el dispositivo se reinicie, resultando en una condición de DoS.
    • CWE-415
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20148: Una vulnerabilidad en la interfaz de gestión basada en la web del software Cisco Secure Firewall Management Center (FMC) podría permitir a un atacante remoto autenticado inyectar contenido HTML arbitrario en un documento generado por el dispositivo. Esta vulnerabilidad se debe a una validación incorrecta de los datos suministrados por el usuario. Un atacante podría explotar esta vulnerabilidad enviando contenido malicioso a un dispositivo afectado y utilizando el dispositivo para generar un documento que contenga información sensible. Un exploit exitoso podría permitir al atacante alterar el diseño estándar de los documentos generados por el dispositivo, leer archivos arbitrarios del sistema operativo subyacente y realizar ataques de falsificación de solicitudes al servidor (SSRF). Para explotar esta vulnerabilidad, el atacante debe tener credenciales válidas para una cuenta de usuario con al menos el rol de Analista de Seguridad (Solo Lectura).
    • CWE-20
    • CVSS: 8.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
    • Explotación: No detectada
  • CVE-2025-20251: Una vulnerabilidad en el servicio Remote Access SSL VPN para el software de Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software de Cisco Secure Firewall Threat Defense (FTD) podría permitir a un atacante remoto autenticado crear o eliminar archivos arbitrarios en el sistema operativo subyacente. Si se manipulan archivos del sistema críticos, se podrían negar nuevas sesiones de Remote Access SSL VPN y se podrían interrumpir las sesiones existentes, causando una condición de denegación de servicio (DoS). Un dispositivo explotado requiere un reinicio manual para recuperarse. Esta vulnerabilidad se debe a una validación de entrada insuficiente al procesar solicitudes HTTP. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas a un dispositivo afectado. Un exploit exitoso podría permitir al atacante crear o eliminar archivos en el sistema operativo subyacente, lo que podría provocar que el servicio Remote Access SSL VPN se vuelva irresponsivo. Para explotar esta vulnerabilidad, el atacante debe estar autenticado como un usuario de VPN del dispositivo afectado.
    • CWE-1287
    • CVSS: 8.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H
    • Explotación: No detectada
  • CVE-2025-20244: Una vulnerabilidad en el servicio Remote Access SSL VPN para el software Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD) podrían permitir a un atacante remoto autenticado como usuario VPN causar una recarga inesperada del dispositivo, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a una comprobación de errores incompleta al analizar el valor de un campo de cabecera HTTP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un servicio de VPN de acceso remoto SSL en un dispositivo afectado. Un exploit exitoso podría permitir al atacante causar una condición de DoS, lo que provocaría la recarga del dispositivo afectado.
    • CWE-1287
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20127: Una vulnerabilidad en la implementación del TLS 1.3 para un cifrado específico para el software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD) para dispositivos de las series Cisco Firepower 3100 y 4200, podría permitir a un atacante autenticado y remoto consumir recursos asociados con las conexiones entrantes de TLS 1.3, lo que eventualmente podría causar que el dispositivo deje de aceptar nuevas solicitudes de SSL/TLS o VPN. Esta vulnerabilidad se debe a la implementación del cifrado TLS 1.3 TLS_CHACHA20_POLY1305_SHA256. Un atacante podría explotar esta vulnerabilidad enviando un gran número de conexiones TLS 1.3 con el cifrado específico TLS 1.3 TLS_CHACHA20_POLY1305_SHA256. Un éxito en la explotación podría permitir al atacante causar una condición de denegación de servicio (DoS) donde no se aceptan nuevas conexiones entrantes cifradas. El dispositivo debe ser reiniciado para solucionar esta condición. Nota: Estas conexiones entrantes de TLS 1.3 incluyen tanto el tráfico de datos como el tráfico de gestión de usuarios. Después de que el dispositivo se encuentra en el estado vulnerable, no se pueden aceptar nuevas conexiones cifradas.
    • CWE-404
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

Para todas las vulnerabilidades enumeradas, el fabricante ha declarado que no hay soluciones alternativas disponibles a partir de las fechas de publicación. Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las actualizaciones y parches de software pertinentes lo antes posible. Aunque no se mencionan específicamente en el contenido recibido, los parches generalmente están disponibles en el portal de soporte del fabricante o a través de sistemas de actualización automáticos. Para obtener instrucciones técnicas detalladas sobre la implementación de las soluciones, consulte los recursos de soporte técnico disponibles y la documentación en línea del fabricante.

Referencias adicionales