Vulnerabilidades Múltiples del fabricante CISCO

Cisco ha publicado varias vulnerabilidades de severidad alta de tipo denegación de servicio (DoS), desbordamiento de pila, divulgación de información, escalamiento de privilegios, y bypass de seguridad en la carga de archivos que afectan a dispositivos con el software ASA, FTD y FMC.

Impacto:
Dependiendo de las vulnerabilidad, una explotación exitosa podría conducir a:

  • Denegación de servicio.
  • Inyección de comandos arbitrarios.
  • Omisión de restricciones de seguridad.
  • Secuencias de comandos entre sitios.
  • Escalamiento de privilegios.
  • Divulgación de información.
  • Manipulación del sistema afectado.

Sistemas afectados:

  • Software de dispositivo de seguridad adaptable de Cisco
  • Software del centro de administración de Cisco Firepower
  • Software de defensa contra amenazas Cisco Firepower
  • Para obtener información detallada sobre los productos afectados, consulte la sección «Productos afectados» del aviso de seguridad correspondiente en el sitio web del proveedor.

Cisco Firepower Threat Defense

° Software DNS Enforcement Denial of Service Vulnerability

CVE-2022-20767 [CVSS 3.1: 8.6]
La vulnerabilidad se debe al manejo inadecuado de la regla de cumplimiento de reputación DNS. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes UDP manipulados a través de un dispositivo afectado para forzar la acumulación de conexiones UDP. Una explotación exitosa podría permitir que el atacante provoque la caída del tráfico que pasa por el dispositivo afectado, lo que resultaría en una condición DoS.
NOTA: Esta vulnerabilidad afecta solamente a los dispositivos Cisco FTD que ejecutan Snort 3.

° Software Denial of Service Vulnerability

CVE-2022-20757 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a un manejo inadecuado del tráfico cuando se alcanzan los límites de la plataforma. Un atacante podría explotar esta vulnerabilidad enviando una alta tasa de tráfico UDP a través de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante provoque la caída de todas las conexiones entrantes nuevas, lo que resultaría en una condición DoS.

° Software TCP Proxy Denial of Service Vulnerability

CVE-2022-20746 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a un manejo inadecuado de los flujos TCP. Un atacante podría aprovechar esta vulnerabilidad enviando un flujo de tráfico TCP manipulado a través de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se vuelva a cargar, lo que resultaría en una condición DoS.

° Software Snort Out of Memory Denial of Service Vulnerability

CVE-2022-20751 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a una gestión de memoria insuficiente para determinados eventos de Snort. Un atacante podría explotar esta vulnerabilidad enviando una serie de paquetes IP manipulados que generarían eventos Snort específicos en un dispositivo afectado. Un ataque sostenido podría causar una condición de falta de memoria en el dispositivo afectado. Una explotación exitosa podría permitir que el atacante interrumpa todo el tráfico que fluye a través del dispositivo afectado. En algunas circunstancias, el atacante puede hacer que el dispositivo se vuelva a cargar, lo que da como resultado una condición DoS.

Cisco Firepower Management Center File Upload Security Bypass Vulnerability

CVE-2022-20743 [CVSS 3.1: 6.5]
Esta vulnerabilidad se debe a una validación incorrecta de los archivos cargados en la interfaz de administración web del software Cisco FMC. Un atacante podría aprovechar esta vulnerabilidad cargando un archivo creado con fines maliciosos en un dispositivo que ejecute el software afectado. Una explotación exitosa podría permitir que el atacante almacene archivos maliciosos en el dispositivo, a los que podría acceder más tarde para realizar ataques adicionales, incluida la ejecución de código arbitrario en el dispositivo afectado con privilegios de root.

Cisco Adaptive Security Appliance Software and Firepower Threat Defense

° Remote Access SSL VPN Denial of Service Vulnerability

CVE-2022-20715 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a una validación incorrecta de los errores que se registran como resultado de las conexiones de los clientes que se realizan mediante una VPN de acceso remoto. Un atacante podría explotar esta vulnerabilidad enviando solicitudes manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo afectado se reinicie, lo que resultaría en una condición DoS.

° Software Web Services Interface Privilege Escalation Vulnerability

CVE-2022-20759 [CVSS 3.1: 8.8]
Esta vulnerabilidad se debe a la separación incorrecta de los campos de autenticación y autorización. Un atacante podría explotar esta vulnerabilidad enviando mensajes HTTPS manipulados a la interfaz de servicios web de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante obtenga acceso de nivel de privilegio 15 a la interfaz de administración web del dispositivo. Esto incluye acceso de nivel de privilegio 15 al dispositivo mediante herramientas de administración como Cisco Adaptive Security Device Manager (ASDM) o Cisco Security Manager (CSM).

° Software IPsec IKEv2 VPN Information Disclosure Vulnerability

CVE-2022-20742 [CVSS 3.1: 7.4]
Esta vulnerabilidad se debe a una implementación incorrecta de los cifrados Galois/Counter Mode (GCM). Un atacante en una posición de man-in-the-middle podría aprovechar esta vulnerabilidad al interceptar una cantidad suficiente de mensajes cifrados a través de un túnel VPN IPsec IKEv2 afectado y luego usar técnicas para romper el cifrado. Una explotación exitosa podría permitir al atacante descifrar, leer, modificar y volver a cifrar los datos que se transmiten a través de un túnel VPN IPsec IKEv2 afectado.

° Software DNS Inspection Denial of Service Vulnerability

CVE-2022-20760 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a la falta de un procesamiento adecuado de las solicitudes entrantes. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de solicitudes de DNS manipuladas a un ritmo elevado a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo deje de responder, lo que resultaría en una condición DoS.

° Software Web Services Interface Denial of Service Vulnerability

CVE-2022-20745 [CVSS 3.1: 8.6]
Esta vulnerabilidad se debe a una validación de entrada incorrecta al analizar las solicitudes HTTPS. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTPS manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se vuelva a cargar, lo que resultaría en una condición DoS.

Cisco Adaptive Security Appliance Software Clientless SSL VPN Heap Overflow Vulnerability

CVE-2022-20737 [CVSS 3.1: 8.5]
Esta vulnerabilidad se debe a una comprobación de límites insuficiente al analizar mensajes de autenticación HTTP específicos. Un atacante podría explotar esta vulnerabilidad enviando tráfico malicioso a un dispositivo afectado que actúe como una puerta de enlace VPN. Para enviar este tráfico malicioso, un atacante necesitaría controlar un servidor web al que se pueda acceder a través del portal Clientless SSL VPN. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se vuelva a cargar, lo que resulta en una condición DoS, o recuperar bytes de la memoria del proceso del dispositivo que pueden contener información confidencial.

Cisco Firepower Threat Defense Software XML Injection Vulnerability
CVE-2022-20729 [CVSS 3.1: 4.4]

Cisco Firepower Threat Defense Software Security Intelligence DNS Feed Bypass Vulnerability
CVE-2022-20730 [CVSS 3.1: 4.0]

Cisco Firepower Threat Defense Software Local Malware Analysis Denial of Service Vulnerability
CVE-2022-20748[ CVSS 3.1: 5.3]

Cisco Firepower Management Center Software Cross-Site Scripting Vulnerabilities
CVE-2022-20627, CVE-2022-20628, CVE-2022-20629 [CVSS 3.1: 5.4]

Cisco Firepower Management Center Software Cross-Site Scripting Vulnerability
CVE-2022-20740 [CVSS 3.1: 6.1]

Cisco Firepower Management Center Software Information Disclosure Vulnerability
CVE-2022-20744 [CVSS 3.1: 4.3]

Recomendación:
Cisco ha lanzado ya las actualizaciones para los sistemas afectados descritos previamente. El personal de TI encargado de administrar los sistemas afecados deben seguir las recomendaciones proporcionadas por el proveedor del producto y tomar medidas inmediatas para mitigar el riesgo. Para obtener información detallada sobre los parches disponibles, consulte la sección «Software reparado» del aviso de seguridad correspondiente en el sitio web del proveedor, o puede ponerse en contacto directamente con el fabricante para obtener soluciones y asistencia.

Para mayor información: