Cisco emitió una alerta de mega vulnerabilidad para dispositivos VPN

02/02/2018

Al usar “XML elaborado”, un atacante podría tomar el control del gateway de seguridad de los routers.

El 29 de enero, Cisco anunció una alerta de seguridad urgente a sus clientes que usan dispositivos y software de seguridad de red que admiten conexiones de red privada virtual (VPN) a redes corporativas.

Los firewalls, aparatos de seguridad y otros dispositivos configurados con el software de VPN WebVPN clientless, son vulnerables a un ataque de red basado en Web que podría poner los dispositivos de seguridad en modo bypass, permitiendo a los atacantes ejecutar comandos en los dispositivos y obtener el control total de estos. Esto daría a los atacantes acceso sin restricciones a la red protegida o reiniciar el hardware. A esta vulnerabilidad se le ha dado una clasificación de critica en el Sistema de Puntuación de Vulnerabilidades Comunes, con una calificación de 10 (La más alta posible en la escala de CVSS).

WebVPN permite a alguien externo a la red corporativa conectarse a la intranet corporativa y a otros recursos de red internos por medio de una sesión de navegador segura. Como no requiere de un software cliente o un certificado preexistente para acceder desde Internet, el gateway WebVPN puede ser generalmente alcanzado desde cualquier lugar de internet (y como resultado, puede ser atacado mediante programación). Un portavoz del equipo de seguridad de Cisco dijo en la alerta que Cisco no está al tanto de ningún exploit activo de la vulnerabilidad por ahora. Pero la naturaleza de la vulnerabilidad ya es públicamente conocida, por lo tanto es casi seguro que los exploits emerjan rápidamente.

La vulnerabiliad, descubierta por Cedric Halbronn de  NCC Group, permite a un atacante usar multiples mensajes especiales con formato XML enviados a la interface WebVPN del dispositivo objetivo para provocar un estado denominado “double-free” en la memoria del sistema. Al hacerlo, el atacante podría potencialmente causar la ejecución de comandos del sistema o corromper la memoria y causar un bloqueo.

Los sistemas afectados son dispositivos que ejecutan software Cisco’s ASA con WebVPN habilitada. Estos incluyen:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

Cisco ha emitido un parche para la vulnerabilidad. Pero para obtener el parche, los clientes sin contrato de soporte actual tendrán que contactar a Cisco Technical Assitance Center (TAC). Algunos profesionales de seguridad  de Ars se comunicaron expresando frustración de la lenta respuesta que obtuvieron del TAC de Cisco.

Actualización [3:00 PM EST] Un vocero de Cisco proporcionó la siguiente declaración: “Cisco está comprometido con la divulgación coordinada responsable sobre las vulnerabilidades y mantiene una relación muy abierta con la comunidad de investigación de seguridad. Tan pronto como Cisco supo que había una conciencia pública potencial del problema, inmediatamente publicamos un aviso de seguridad para informar a los clientes de esto, así como también evaluar su red y remediar el problema. Un parche dirigido a la corrección de esta vulnerabilidad específica está disponible desde que se descubrió”.