El día lunes (29 de Enero) al medio día, Cisco lanzó una alerta de seguridad para los clientes que utilizan sus dispositivos y software de seguridad de red que permite establecer conexiones con VPNs empresariales. Los firewalls, dispositivos de seguridad y otros dispositivos que son configurados usando la interface web WebVPN son vulnerables a un ataque remoto dirigido al puerto de la misma, que podría eludir la seguridad de los dispositivos, permitiendo que un atacante remoto ejecute comandos en los dispositivos y obtenga un control total sobre ellos. Esto daría a los atacantes acceso sin restricciones a redes protegidas o haría que el hardware se reinicie. A la vulnerabilidad se le ha otorgado una calificación 10 sobre 10 en la escala CVSS (Common Vulnerability Scoring System) que el sistema que usa Cisco para calificar sus vulnerabilidades. Estamos pues ante una vulnerabilidad extremadamente crítica que requiere que sea parchada inmediatamente.

WebVPN permite que alguien fuera de una red corporativa se conecte a la intranet de una empresa y pueda acceder a los recursos de red desde una sesión de navegador segura (SSL). Como no se requiere para el acceso desde Internet de un programa cliente específico o una llave privada preexistente, la puerta de enlace de WebVPN generalmente se puede acceder desde cualquier lugar de Internet y como resultado de ello puede ser atacada mediante haciendo uso de un script. Un portavoz del equipo de seguridad de Cisco dijo que al momento de la alerta, Cisco no estaba al tanto de ningún exploit que aproveche la vulnerabilidad. Pero la naturaleza de la vulnerabilidad ya se conoce públicamente, por lo que es casi seguro que aparezcan rápidamente PoC y exploits.

La vulnerabilidad fue descubierta por Cedric Halbronn del Grupo NCC, funciona de la siguiente manera: un atacante envía múltiples mensajes XML formateados especialmente a la interfaz WebVPN de un dispositivo específico en un intento de “liberar” memoria en el sistema. Al ejecutar un comando para liberar una dirección de memoria específica más de una vez puede causar pérdida de memoria que permite a un atacante escribir comandos u otros datos en bloques de la memoria del sistema. Al hacerlo, el atacante podría provocar que el sistema ejecute comandos o podría dañar la memoria del sistema y provocar el bloqueo del dispositivo atacado.

Los sistemas afectados son dispositivos que ejecutan el software ASA de Cisco con WebVPN habilitado. Estos dispositivos son:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

Aunque Cisco ya ha emitido un parche para la vulnerabilidad. Pero para obtenerlo, los clientes que no tengan contratos de mantenimiento (que implica un pago mensual o anual) deben ponerse en contacto con el Centro de Asistencia Técnica (TAC) de Cisco para obtener el parche. Cómo es lógico esto no ha sido muy bien recibido por usuarios de productos Cisco, ya que este es un error que trae el producto y no el resultado de una mala operación de los usuarios.

 

Anuncios