Cabecera-v2-web.jpg

Actualizaciones de seguridad para Cisco abordan múltiples vulnerabilidades de alto riesgo.


Recientemente Cisco ha lanzado una serie actualizaciones de seguridad que abordan un total de 12 vulnerabilidades, las mismas han sido catalogadas con riesgo alto, y afectan a los productos: Cisco ASA (Adaptive Security Appliance), Cisco FTD (Firepower Threat Defense) y Cisco FMC(Firepower Management Center).

A continuación se detallan las 12 vulnerabilidades de riesgo alto:

Captura_de_pantalla_de_2020-05-08_14-16-37.png

El CVE-2020-3125, se da durante la autenticación Kerberos de Cisco ASA, y es debido a una verificación insuficiente de identidad en Kerberos KDC (Key Distribution Center), esto podría ser aprovechado un atacante remoto no autenticado para hacerse pasar por el kDC y así omitir la autenticación. Cabe destacar que esta vulnerabilidad afecta a dispositivos configurados con la autenticación Kerberos para VPN o acceso local.

Los CVE-2020-3298 y CVE-2020-3195, se deben a fallos en la implementación OSPF(Open Shortest Path First) de Cisco ASA y Cisco FTD con el procesamiento de bloques LLS activado, dichos fallos se dan debido a un mal manejo de memoria y procesamiento de los paquetes OSPF. La explotación exitosa de esta vulnerabilidad, permitiría a un atacante remoto no autenticado, causar un ataque de denegación de servicios (DoS) con el envío de una serie de paquetes OSPF malformados al dispositivo afectado en un periodo corto de tiempo.

Por otro lado el CVE-2020-3196, se debe a una vulnerabilidad en el manejo de SSL/TLS de Cisco ASA y Cisco FTD, y es debido a un manejo inapropiado de los recursos para conexiones SSL/TLS entrantes, sabiendo esto un atacante podría establecer múltiples conexiones con condiciones específicas para afectar al dispositivo y saturar la memoria, provocando un ataque de denegación de servicios (DoS) en el dispositivo que procesa el tráfico SSL/TLS.

El CVE-2020-3259, es un fallo en la interfaz de servicios web de Cisco ASA y FTD, y se da debido a un problema de seguimiento del buffer cuando el software analiza las URLs solicitadas dentro de la interfaz web. Un atacante podría enviar a la interfaz de servicios web una solicitud GET especialmente diseñada y recuperar el contenido de memoria con el fin de obtener información confidencial.

Mientras que el CVE-2020-3191, se da durante el procesamiento de paquetes DNS por IPv6 en Cisco ASA y FTD, y es debido a una validación incorrecta del campo de longitud en un paquete IPv6 DNS. La explotación exitosa de este fallo permitiría a un atacante causar una denegación de servicios (DoS) en el dispositivo afectado, enviando consultas DNS por medio de IPv6, causando una sobrecarga del dispositivo. }

En cuanto al CVE-2020-3254, se trata de múltiples vulnerabilidades en la característica de inspección Media Gateway Control Protocol (MGCP) de Cisco ASA y FTD. Estas vulnerabilidades se dan debido a un manejo ineficiente de la memoria, un atacante podría enviar al dispositivo afectado paquetes MGCP especialmente diseñados con el fin de agotar la memoria, lo que llevaría a un ataque de denegación de servicios (DoS).

El CVE-2020-3187, se trata de un fallo en la interfaz de servicios web de Cisco ASA y FTD, dicho fallo se debe a una validación inadecuada de una UTL HTTP . Un atacante podría enviar una solicitud HTTP especialmente diseñada, el cual contendría caracteres de secuencia para realizar un diirectory traversal.

Por otro lado, el CVE-2020-3179, se da en la característica de decapsulación de GRE (Generic Routing Encapsulation) en Cisco FTD. El fallo es debido a un error durante el manejo de la memoria cuando se procesa la característica GRE en paquetes IPv6. Un atacante podría explotar esta vulnerabilidad enviando un GRE especialmente diseñado por medio de paquetes IPv6, logrando un ataque de denegación de servicios (DoS).

El CVE-2020-3255, se da en el procesamiento de paquetes de Cisco FTD, y es debido a un manejo ineficiente de la memoria. Un atacante podría explotar exitosamente esta vulnerabilidad aumentando la tasa de tráfico de IPv4 o IPv6 en un dispositivo afectado, agotando la memoria y llevando a una denegación de servicios (DoS).

Mientras que el CVE-2020-3189, se da en la función de inicio de sesión de VPN System para Cisco FTD, y es debido a que la memoria del sistema no se libera correctamente para un evento de inicio de sesión en el sistema VPN generado cuando una sesión VPN es creada o eliminada, lo que causaría la pérdida en un pequeño monto de memoria por cada evento de inicio de sesión. Sabiendo esto un atacante podría crear y eliminar continuamente sesiones VPN agotando la memoria y llevando a una denegación de servicios (DoS).

Finalmente el CVE-2020-3283, se da en el manejo de conexiones SSL/TLS de Cisco FTD específicamente en productos Cisco Firepower 1000 series, esta vulnerabilidad es debido a un error en la comunicación entre funciones internas. Un atacante podría explotar esta vulnerabilidad enviando al dispositivo afectado mensajes SSL/TLS espacialmente diseñados, lo que causaría una denegación de servicios (DoS).

Recomendaciones:

Actualizar el software de su producto Cisco a la última versión disponible:

  • Para el caso de Cisco ASA Software, primeramente ingrese a la página de descarga de software oficial de Cisco, seguidamente diríjase al apartado Security > Firewalls > Adaptive Security Appliance (ASA), y allí seleccione una de las versiones mencionadas a continuación:
    • Para versiones 9.8.x actualizar a la versión 9.8.4.20,
    • Para versiones 9.9.x actualizar a la versión 9.9.2.67,
    • Para versiones 9.10.x actualizar a la versión 9.10.1.39,
    • Para versiones 9.11.x actualizar a la versión 9.12.3.9 y
    • Para versiones 9.13.x actualizar a la versión 9.13.1.10.

Obs: versiones anteriores a la 9.8, ya no cuentan con soporte seguridad, se recomienda migrar a versiones que cuentan con soporte.

  • Para el caso de Cisco FTD Software, primeramente ingrese a la página de descarga de software oficial de Cisco, seguidamente diríjase al apartado Security > Firewalls > Next-Generations Firewalls, en el apartado de opciones seleccione Firepower Threat Defense (FTD) Software y finalmente seleccione una de las versiones mencionadas a continuación:
    • Para versiones 6.2.3.x actualizar a la versión 6.2.3.16,
    • Para versiones 6.3.0.x actualizar a la versión 6.3.0.6,
    • Para versiones 6.4.0.x actualizar a la versión 6.4.0.9 y
    • Para versiones 6.5.0.x actualizar a la versión 6.5.0.5.

Obs: versiones anteriores a la 6.2.3 ya no cuentan con soporte seguridad, se recomienda migrar a versiones que cuentan con soporte.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11