Se ha identificado una vulnerabilidad en Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD) que permite a un atacante remoto no autenticado provocar una recarga inesperada del dispositivo mediante el envío de certificados SSL/TLS especialmente diseñados. Esto resultaría en una condición de denegación de servicio (DoS).
A continuación, se detalla la vulnerabilidad reportada:
- CVE‑2025‑20134 (CVSS 8.6): Manejo incorrecto de memoria, al procesar certificados SSL/TLS malformados, permite que un atacante remoto no autenticado puede enviar un certificado malicioso a través de una conexión SSL/TLS activa, lo que puede provocar un fallo de memoria que reinicia el dispositivo, interrumpiendo su operación.
Productos afectados:
- Cisco ASA Software: versiones 9.15 y anteriores
- Cisco FTD Software: versiones 6.7 y anteriores
Solución y mitigación:
- Cisco ASA Software: Migrar a 9.16 o superior
- Cisco FTD Software: Migrar a 7.0 o superior
Recomendaciones:
- Restringir exposición pública de servicios SSL/TLS no esenciales, deshabilitar funciones como WebVPN o HTTP server en interfaces de administración públicas, permitiendo solo acceso desde redes de gestión internas o mediante túneles seguros
- Actualizar dispositivos de forma prioritaria a ASA ≥ 9.16 y FTD ≥ 7.0
- Implementar controles de segmentación y redundancia: en caso de que un ASA/FTD sufra reinicios por intento de explotación, disponer de alta disponibilidad (HA) o balanceo con equipos redundantes minimizará el impacto en la disponibilidad del servicio.
Referencias: