Los investigadores de amenazas de Rapid7 han revelado 10 problemas de seguridad separados en los productos de firewall de Cisco que podrían dejar a cientos de miles de organizaciones en todo el mundo expuestas a ciberataques potencialmente graves en la cadena de suministro y advirtieron que no todos ellos han sido parcheados correctamente.
Las vulnerabilidades afectan a los cortafuegos de nivel empresarial Cisco Adaptive Security Software (ASA) y ASA-X, así como a la interfaz gráfica de usuario de Adaptive Security Device Manager (ASDM) para la administración remota de dispositivos basados en ASA, y su software FirePower Services, que específicamente admite la instalación del módulo FirePower en Cisco ASA 5500-X con FirePower Services.
Fueron descubiertos por el investigador principal de seguridad de Rapid7, Jake Baines, quien los reveló a Cisco en febrero y marzo de 2022, y ha estado trabajando extensamente con el proveedor del kit de red desde entonces. Se demostraron formalmente hoy (11 de agosto) en Black Hat USA, y se volverán a mostrar en la siguiente conferencia DEF CON el 13 de agosto. Al momento de escribir este artículo, solo cuatro de los problemas han sido reparados, y solo cuatro han recibido designaciones de vulnerabilidad y exposición comunes (CVE).
“Cisco no considera que la lista completa de características explotables sean vulnerabilidades”, dijo Baines en una declaración resumida que acompaña a su divulgación, “ya que gran parte de la explotación ocurre en la máquina virtual en el ASA.
“A pesar de esto, los atacantes aún pueden obtener acceso a las redes corporativas, en caso de que permanezcan sin parches. Rapid7 insta a las organizaciones que usan Cisco ASA a aislar el acceso administrativo tanto como sea posible”, dijo.
Las tres vulnerabilidades posiblemente más críticas son las siguientes:
- CVE-2022-20829 en Cisco ASDM. Esta vulnerabilidad existe porque el paquete binario ASDM carece de una firma criptográfica para demostrar que es auténtico, por lo que un paquete ASDM malicioso instalado en un Cisco ASA podría provocar la ejecución de código arbitrario en cualquier cliente conectado a él. Esto es particularmente impactante porque el paquete ADSM es distribuible. Esto significa que podría instalarse a través de un ataque a la cadena de suministro, un infiltrado malintencionado o simplemente dejarse disponible de forma gratuita en la Internet pública para que los administradores se encuentren. No ha sido parcheado.
- CVE-2021-1585. Esta vulnerabilidad permite que un extremo intermediario o malicioso ejecute código Java arbitrario en el sistema de un administrador de ASDM mediante el iniciador. Cisco lo reveló en julio de 2021, pero no lo parcheó hasta el lanzamiento de junio de 2022 de ASDM 7.18.1.150. Sin embargo, Baines ha demostrado que el exploit aún funciona contra esta versión.
- CVE-2022-20828. Esta es una vulnerabilidad autenticada remota que permite que un actor de amenazas obtenga acceso raíz en ASA-X con FirePower Services cuando el módulo FirePower está instalado. Debido a que el módulo FirePower está completamente conectado a la red y es capaz de acceder tanto al exterior como al interior del ASA, es muy útil para un atacante ocultar o organizar sus ataques; como resultado, exponer ASDM a la Internet pública podría ser muy peligroso para los ASA. utilizando este módulo y, además, aunque requiere credenciales para ejecutarse con éxito, el esquema de autenticación predeterminado de ASDM revela las credenciales a los atacantes intermediarios activos. Afortunadamente, se ha solucionado en la mayoría de las versiones mantenidas.
A uno de los otros problemas de menor impacto, una falla de registro de credenciales en el cliente ASDM, se le asignó CVE-2022-20651. Por las razones esbozadas por Baines, los demás no lo han hecho. Los detalles completos de estos están disponibles en Rapid7.
Baines dijo que los usuarios de los productos afectados debían comprender que los cortafuegos, que se supone que son un elemento vital para mantener a los actores de amenazas fuera de las redes, se pueden eludir fácilmente.
Agregó que muchos usuarios claramente no estaban actualizando sus firewalls de Cisco de manera adecuada, afirmando que un análisis del 15 de junio de los portales web de ASDM encontró que menos del 0,5 % de los dispositivos con acceso a Internet se habían actualizado a la versión más reciente de ASDM 7.18.1, con la mayoría La versión popular en la naturaleza resultó ser 7.8.2, que existe desde hace cinco años.
