Noticias

Evolución de técnicas de persistencia en Cisco Secure Firewall ASA y FTD

Fecha de publicación: 

Resumen ejecutivo

Recientes hallazgos en dispositivos Cisco Secure Firewall ASA y FTD revelan una grave vulnerabilidad con una puntuación CVSS de 9.9, que permite a atacantes remotos autenticados ejecutar código arbitrario, comprometiendo totalmente el dispositivo. Esta situación requiere una acción inmediata, ya que el atacante debe contar con credenciales de VPN válidas para llevar a cabo la explotación. Además, se ha detectado una vulnerabilidad adicional con una puntuación de 6.5, que permite a un atacante remoto no autenticado acceder a URLs restringidas, potencialmente provocando un denegación de servicio (DoS). Para mitigar estos riesgos, es imperativo que los usuarios apliquen con urgencia las actualizaciones de software recomendadas para asegurar la protección de sus dispositivos. La pronta adopción de estas correcciones es crucial para mantener la integridad y disponibilidad del sistema.

Recursos afectados

  • Cisco Secure Firewall Adaptive Security Appliance (ASA) Software (versiones específicas no mencionadas)
  • Cisco Secure Firewall Threat Defense (FTD) Software (versiones específicas no mencionadas)
  • Cisco Secure Firewall ASA Software Code Train 9.16 (primera versión fija: 9.16.4.92)
  • Cisco Secure Firewall ASA Software Code Train 9.18 (primera versión fija: 9.18.4.135)
  • Cisco Secure Firewall ASA Software Code Train 9.20 (primera versión fija: 9.20.4.30)
  • Cisco Secure Firewall ASA Software Code Train 9.22 (primera versión fija: 9.22.3.5)
  • Cisco Secure Firewall ASA Software Code Train 9.23 (primera versión fija: 9.23.1.195)
  • Cisco Secure Firewall ASA Software Code Train 9.24 (primera versión fija: 9.24.1.155)
  • Cisco Secure FTD Software Code Train 7.0 (primera versión fija: 7.0.9 seguido de Hotfix FZ-7.0.9.1-3)
  • Cisco Secure FTD Software Code Train 7.2 (primera versión fija: 7.2.11 seguido de Hotfix HI-7.2.11.1-1)
  • Cisco Secure FTD Software Code Train 7.4 (primera versión fija: 7.4.7)
  • Cisco Secure FTD Software Code Train 7.6 (primera versión fija: 7.6.4 seguido de Hotfix CC-7.6.4.1-1)
  • Cisco Secure FTD Software Code Train 7.7 (primera versión fija: 7.7.11 seguido de Hotfix AE-7.7.11.1-4)
  • Cisco Secure FTD Software Code Train 10.0 (primera versión fija: 10.0.0 seguido de Hot Fix)
  • Cisco Firepower 4100 Security Appliance (versiones específicas no mencionadas)
  • Cisco Firepower 9300 Security Appliance (versiones específicas no mencionadas)
  • Cisco Firepower 4100 FXOS Code Train 2.10 (primera versión fija: 2.10.1.383)
  • Cisco Firepower 4100 FXOS Code Train 2.12 (primera versión fija: 2.12.1.117)
  • Cisco Firepower 4100 FXOS Code Train 2.14 (primera versión fija: 2.14.3.125)
  • Cisco Firepower 4100 FXOS Code Train 2.16 (primera versión fija: 2.16.2.119)
  • Cisco Firepower 4100 FXOS Code Train 2.17 (primera versión fija: 2.17.0.549)
  • Cisco Firepower 4100 FXOS Code Train 2.18 (primera versión fija: 2.18.0.535)

Análisis técnico

  • CVE-2025-20333: Una vulnerabilidad en el servidor web VPN del Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD) permite a un atacante remoto autenticado ejecutar código arbitrario en el dispositivo afectado. Esto puede resultar en la completa compromisión del dispositivo. Para explotar esta vulnerabilidad, el atacante debe contar con credenciales de usuario válidas de VPN y enviar solicitudes HTTP diseñadas específicamente al dispositivo afectado.
    • CWE-120
    • CVSS: 9.9 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2025-20362: Una vulnerabilidad en el servidor web VPN de Cisco Secure ASA Software y Cisco Secure FTD Software permite a un atacante remoto no autenticado acceder a URL restringidas relacionadas con VPN. Esto puede causar un denegación de servicio (DoS) en dispositivos no parcheados. Para explotar esta vulnerabilidad, el atacante debe enviar solicitudes HTTP manipuladas al servidor web del dispositivo afectado. Se recomienda a los clientes actualizar a las versiones de software corregidas mencionadas en el aviso.
    • CWE-862
    • CVSS: 6.5 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
    • Explotación: Detectada

Mitigación / Solución

Para mitigar el problema de seguridad relacionado con los productos Cisco Secure Firewall ASA y Cisco Secure FTD, el fabricante recomienda realizar un reimagen y actualizar el dispositivo utilizando las versiones fijas listadas en la sección de Software Fijo del aviso. Si se confirma una posible infección, se debe utilizar el comando show kernel process | include lina_cs para verificar la presencia del proceso malicioso. Si se presenta este proceso, se considerará que el dispositivo está comprometido y debe ser reimaginado y actualizado. Alternativamente, se puede realizar un reinicio en frío para eliminar el implante persistente, pero esta acción puede conllevar riesgos de corrupción de datos, por lo que se prefiere el reimagen completo.

Referencias adicionales