Cisco ha reportado múltiples vulnerabilidades en su catálogo de productos: 10 de riesgo alto y 11 de riesgo medio. Dentro de los productos afectados se encuentran Email Security Appliance (ESA), Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD), Firepower Management Center (FMC), Secure Firewall 3100 Series, entre otros.
Vulnerabilidades con severidad Alta:
Vulnerabilidad de denegación de servicio en la interfaz de servicios web del software Cisco Adaptive Security Appliance y del software Firepower Threat Defense (CVE-2022-20745).
Esta vulnerabilidad se debe a una validación de entrada incorrecta al analizar las solicitudes HTTPS. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTPS manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se vuelva a cargar, lo que resultaría en una condición DoS.
Productos afectados:
- Funciones del software Cisco ASA vulnerables:
Cisco ASA Feature | Vulnerable Configuration |
---|---|
AnyConnect Internet Key Exchange Version 2 Remote Access (with client services) | crypto ikev2 enable client-services port |
AnyConnect SSL VPN | webvpn enable |
Clientless SSL VPN | webvpn enable |
- Funciones del software Cisco FTD vulnerables:
Cisco FTD Feature | Vulnerable Configuration |
---|---|
AnyConnect Internet Key Exchange Version 2 Remote Access (with client services) | crypto ikev2 enable client-services port |
AnyConnect SSL VPN | webvpn enable |
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad de denegación de servicio en el cliente SSL/TLS de Cisco Adaptive Security Appliance Software y Firepower Threat Defense Software (CVE-2022-20927).
Esta vulnerabilidad se debe a una gestión de memoria incorrecta cuando un dispositivo inicia conexiones SSL/TLS. Un atacante podría aprovechar esta vulnerabilidad asegurándose de que el dispositivo se conectará a un servidor SSL/TLS que utiliza parámetros de cifrado específicos. Una explotación exitosa podría permitir que el atacante provoque que el dispositivo afectado se recargue inesperadamente, lo que resultaría en una condición DoS.
Productos afectados:
- Serie ASA 5500-X
- Serie Firepower 4100
- Serie Firepower 9300
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad en el arranque seguro de Cisco Secure Firewall 3100 Series (CVE-2022-20826).
Esta vulnerabilidad se debe a un error lógico en el proceso de arranque. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en una ubicación de memoria específica durante el proceso de arranque de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante ejecute código persistente en el momento del arranque y rompa la cadena de confianza.
Productos afectados:
Esta vulnerabilidad afecta a los Cisco Secure Firewalls 3100 Series si estaban ejecutando una versión del software Cisco ASA o el software Cisco FTD que incluye una versión de paquete de firmware vulnerable:
- En Cisco ASA Software Release 9.17 y Cisco FTD Software Release 7.1, las versiones de paquetes de firmware anteriores a la 1.0.22 son vulnerables.
- En la versión 9.18 del software Cisco ASA y la versión 7.2 del software Cisco FTD, las versiones del paquete de firmware anteriores a la 1.2.17 son vulnerables.
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad de denegación de servicio en la encapsulación de enrutamiento genérico del software Firepower Threat Defense de Cisco (CVE-2022-20946).
Esta vulnerabilidad se debe a un error de manejo de memoria que ocurre cuando se procesa el tráfico GRE. Un atacante podría explotar esta vulnerabilidad enviando una carga útil GRE manipulada a través de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se reinicie, lo que resultaría en una condición DoS.
Productos afectados:
- Software Cisco FTD versiones 6.3.0 y posteriores.
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad en las credenciales por defecto del software Cisco FirePOWER para el módulo ASA FirePOWER (CVE-2022-20918).
Esta vulnerabilidad se debe a la presencia de una credencial predeterminada para SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2). Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud GET de SNMPv1 o SNMPv2 a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante recupere información confidencial del dispositivo utilizando la credencial predeterminada.
Productos afectados:
- Para determinar si SNMP está habilitado en el software Cisco FirePOWER para el módulo ASA FirePOWER o el software Cisco NGIPS mediante dispositivos administrados por el software Cisco FMC, seleccione Dispositivos > Configuración de plataforma > Habilitar servidores SNMP . Si la interfaz de un servidor SNMP en la pestaña Host SNMP está configurada para la interfaz de administración del módulo Cisco FirePOWER Software for ASA FirePOWER, entonces el dispositivo se considera vulnerable.
- Para determinar si SNMP está habilitado en el software Cisco FMC, seleccione Dispositivos > Administración de dispositivos . Si se marca Admin State , SNMP está habilitado.
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad de denegación de servicio en SSH del software Cisco Firepower Management Center y Firepower Threat Defense (CVE-2022-20854).
Esta vulnerabilidad se debe a un manejo inadecuado de errores cuando no se puede establecer una sesión SSH. Un atacante podría aprovechar esta vulnerabilidad enviando una alta tasa de conexiones SSH manipuladas a la instancia. Una explotación exitosa podría permitir que el atacante provoque el agotamiento de los recursos, lo que resultaría en un reinicio en el dispositivo afectado.
Productos afectados:
- software Cisco FMC o del software Cisco FTD que se encuentra en la configuración predeterminada. SSH está habilitado de manera predeterminada en la interfaz de administración de FMC. SSH no está habilitado de forma predeterminada en las interfaces de datos.
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad de denegación de servicio de SNMP en el software Cisco Adaptive Security Appliance y en el software Firepower Threat Defense (CVE-2022-20924).
Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante provoque que el dispositivo afectado se vuelva a cargar, lo que resultaría en una condición DoS.
Productos afectados:
- Software Cisco ASA y al software Cisco FTD si tienen habilitada la administración remota de SNMP.
Remediación:
- Actualizar a la última versión disponible.
Vulnerabilidad de denegación de servicio en el software Cisco Adaptive Security Appliance y el software Firepower Threat Defense Políticas de acceso dinámico (CVE-2022-20947).
Esta vulnerabilidad se debe a un procesamiento inadecuado de los datos de HostScan recibidos del módulo Posture (HostScan). Un atacante podría aprovechar esta vulnerabilidad enviando datos de HostScan manipulados a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante provoque que el dispositivo afectado se vuelva a cargar, lo que resultaría en una condición DoS.
Productos afectados:
Software Cisco ASA o Cisco FTD que cumplen todas las condiciones siguientes:
- El acceso remoto SSL VPN está habilitado.
- HostScan está habilitado.
- Al menos un DAP personalizado está configurado.
Remediación:
- Actualizar a la última versión disponible.
X.509 Email Address 4-byte Buffer Overflow (CVE-2022-3602):
Se puede desencadenar un desbordamiento del búfer en la verificación del certificado X.509, específicamente en la verificación de restricciones de nombre. Tenga en cuenta que esto ocurre después de la verificación de la firma de la cadena de certificados y requiere que una CA haya firmado el certificado malicioso o que la aplicación continúe con la verificación del certificado a pesar de no poder construir una ruta a un emisor confiable. Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Este desbordamiento de búfer podría provocar un bloqueo (lo que provocaría una denegación de servicio) o una posible ejecución remota de código. Muchas plataformas implementan protecciones de desbordamiento de pila que mitigarían el riesgo de ejecución remota de código. El riesgo puede mitigarse aún más en función del diseño de la pila para cualquier plataforma/compilador determinado. En un cliente TLS, esto puede activarse al conectarse a un servidor malicioso. En un servidor TLS, esto puede activarse si el servidor solicita la autenticación del cliente y se conecta un cliente malintencionado.
Productos afectados:
- OpenSSL 3.0.0,3.0.1,3.0.2,3.0.3,3.0.4,3.0.5 y 3.0.6
Remediación:
- Actualizar a la última versión disponible.
X.509 Email Address Variable Length Buffer Overflow (CVE-2022-3786):
Se puede desencadenar un desbordamiento del búfer en la verificación del certificado X.509, específicamente en la verificación de restricciones de nombre. Tenga en cuenta que esto ocurre después de la verificación de la firma de la cadena de certificados y requiere que una CA haya firmado un certificado malicioso o que una aplicación continúe con la verificación del certificado a pesar de no poder construir una ruta a un emisor confiable. Un atacante puede crear una dirección de correo electrónico maliciosa en un certificado para desbordar un número arbitrario de bytes que contengan el `.’ carácter (decimal 46) en la pila. Este desbordamiento de búfer podría provocar un bloqueo (provocando una denegación de servicio). En un cliente TLS, esto puede activarse al conectarse a un servidor malicioso. En un servidor TLS, esto puede activarse si el servidor solicita la autenticación del cliente y se conecta un cliente malintencionado.
Productos afectados:
- OpenSSL 3.0.0 a 3.0.6
Remediación:
- Actualizar a OpenSSL 3.0.7
Vulnerabilidad de inyección SQL de gestión de próxima generación de Cisco ESA y Cisco Secure Email and Web Manager (CVE-2022-20867):
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Email Security Appliance y Cisco Secure Email and Web Manager podría permitir que un atacante remoto autenticado realice ataques de inyección SQL como root en un sistema afectado. El atacante debe tener las credenciales de una cuenta de usuario con muchos privilegios. Esta vulnerabilidad se debe a una validación incorrecta de los parámetros enviados por el usuario. Un atacante podría explotar esta vulnerabilidad al autenticarse en la aplicación y enviar solicitudes maliciosas a un sistema afectado. Una explotación exitosa podría permitir que el atacante obtenga datos o modifique los datos almacenados en la base de datos subyacente del sistema afectado.
Productos afectados:
- Cisco ESA, Cisco Secure Email and Web Manager, and Cisco Secure Web Appliance.
Remediación:
- Actualizar a la última versión disponible.
Cisco ESA, Cisco Secure Email and Web Manager, y Cisco Secure Web Appliance Vulnerabilidad de escalada de privilegios de administración de próxima generación (CVE-2022-20868):
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Email Security Appliance, Cisco Secure Email and Web Manager y Cisco Secure Web Appliance podría permitir que un atacante remoto autenticado eleve los privilegios en un sistema afectado. El atacante necesita credenciales válidas para aprovechar esta vulnerabilidad. Esta vulnerabilidad se debe al uso de un valor codificado para cifrar un token utilizado para ciertas llamadas a las API. Un atacante podría explotar esta vulnerabilidad al autenticarse en el dispositivo y enviar una solicitud HTTP manipulada. Una explotación exitosa podría permitir que el atacante se haga pasar por otro usuario válido y ejecute comandos con los privilegios de esa cuenta de usuario.
Productos afectados:
- Cisco ESA and Cisco Secure Email and Web Manager.
Remediación:
- Actualizar a la última versión disponible.
Recomendaciones:
- Actualizar a las últimas versiones disponibles de los productos afectados.
- Se recomienda revisar el sitio de CISCO para mayor información sobre las vulnerabilidades.
Referencias:
- https://unaaldia.hispasec.com/2022/11/cisco-libera-mas-20-parches-de-seguridad-que-afectan-a-varios-de-sus-productos.html?utm_source=rss&utm_medium=rss&utm_campaign=cisco-libera-mas-20-parches-de-seguridad-que-afectan-a-varios-de-sus-productos
- https://tools.cisco.com/security/center/publicationListing.x
- https://nvd.nist.gov/vuln/detail/CVE-2022-20868
- https://nvd.nist.gov/vuln/detail/CVE-2022-20867
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esasmawsa-vulns-YRuSW5mD
- https://www.openssl.org/news/secadv/20221101.txt
- https://nvd.nist.gov/vuln/detail/CVE-2022-3602
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asafdt-webvpn-dos-tzPSYern
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ssl-client-dos-cCrQPkA
- https://nvd.nist.gov/vuln/detail/CVE-2022-3786
- https://mta.openssl.org/pipermail/openssl-announce/2022-November/000243.html