Vulnerabilidad crítica de bypass de autenticación externa (LDAP) en Cisco Firepower Center

TEAM CSIRT

Se reporta nueva vulnerabilidad crítica en Cisco Firepower Center, registrada bajo el ID CVE-2019-16028, consiste en el bypass de autenticación desde un servidor externo (LDAP), debido a una falla en las respuestas de autenticación. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener acceso administrativo a la interfaz de administración basada en web del dispositivo afectado.

Cisco recomienda actualizar el software de Cisco Firepower a las versiones que tienen solventada esta vulnerabilidad y aplicar los parches de seguridad disponibles, detallados a continuación:

  • Versiones anteriores a 6.1.0: migrar a una versión 6.2.3 y aplicar las revisiones disponibles.
  • 6.1.0: Aplicar el hotfix «Sourcefire_3D_Defense_Center_S3_Hotfix_ES-6.1.0.8-2.sh» o migrar a una versión 6.2.3 y aplicar el hotfix «Sourcefire_3D_Defense_Center_S3_Hotfix_DO-6.2.3.16-3.sh.REL.tar».6.2.0 a 6.2.2: Migrar a una versión 6.2.3 y aplicar el hotfix «Sourcefire_3D_Defense_Center_S3_Hotfix_DO-6.2.3.16-3.sh.REL.tar».
  • 6.2.3 o 6.3.0: Aplicar los hotfix «Sourcefire_3D_Defense_Center_S3_Hotfix_DO-6.2.3.16-3.sh.REL.tar» o » Cisco_Firepower_Mgmt_Center_Hotfix_AI-6.3.0.6-2.sh.REL.tar»; Las versiones de mantenimiento estarán disponibles a finales de este año.
  • 6.4.0: Aplicar las revisiones disponibles o actualizar a la versión 6.4.0.7.
  • 6.5.0: Actualizar a la versión 6.5.0.2.


Cisco recomienda que los clientes que no pueden aplicar inmediatamente una solución de software evalúen la posibilidad de deshabilitar la autenticación LDAP para el acceso a Cisco Firepower y utilizar otros métodos de autenticación hasta que se pueda aplicar una solución de software.

Según lo expuesto por Cisco, los clientes deben asegurarse de que los dispositivos a actualizar contengan suficiente memoria y confirmar que la nueva versión continuará admitiendo las configuraciones actuales de hardware y software. Si la información no es clara, se recomienda a los clientes que se comuniquen con el Centro de asistencia técnica de Cisco (TAC) o con sus proveedores de mantenimiento contratados.

Cisco ha confirmado que esta vulnerabilidad no afecta el software del dispositivo Cisco Adaptive Security Appliance (ASA) ni el software de Cisco Firepower Threat Defense (FTD).


Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces: