4 fallas y otras debilidades socavan los firewalls de Cisco ASA



BLACK HAT EE. UU. — Las Vegas — Los firewalls de clase empresarial de Cisco tienen al menos una docena de vulnerabilidades, a cuatro de las cuales se les han asignado identificadores CVE, que podrían permitir a los atacantes infiltrarse en las redes protegidas por los dispositivos, un investigador de seguridad de la empresa de gestión de vulnerabilidades Quick7 planea decir en una presentación en la conferencia Black Hat United states of america el 11 de agosto.

Las vulnerabilidades afectan el program Adaptive Safety Appliance (ASA) de Cisco, el sistema operativo para los firewalls de clase empresarial de la empresa y su ecosistema. La debilidad de seguridad más significativa (CVE-2022-20829) es que los paquetes binarios de Adaptive Stability Unit Supervisor (ASDM) no están firmados digitalmente, lo que, junto con la falla para verificar el certificado SSL de un servidor, permite que un atacante implemente binarios ASA personalizados. que luego puede instalar archivos en las computadoras de los administradores.

Debido a que los administradores solo esperan que el program ASDM venga preinstalado en los dispositivos, el hecho de que los archivos binarios no estén firmados les da a los atacantes un ataque significativo a la cadena de suministro, dice Jake Baines, investigador principal de seguridad en Fast7.

«Si alguien compra un dispositivo ASA en el que el atacante instaló su propio código, los atacantes no obtienen shell en el dispositivo ASA, pero cuando un administrador se conecta al dispositivo, ahora [the attackers] tener un caparazón [the administrator’s] computadora», dice. «Para mí, ese es el ataque más peligroso».

los docena de debilidades de seguridad incluyen problemas que afectan a los dispositivos e instancias virtuales que ejecutan el application ASA, así como vulnerabilidades en el módulo de firewall de última generación de Firepower. Los clientes de Cisco implementan más de 1 millón de dispositivos ASA en todo el mundo, aunque una búsqueda de Shodan muestra que solo alrededor del 20% tiene la interfaz de administración expuesta a Internet, dice Baines.

Como un ataque a la cadena de suministro, las vulnerabilidades darían a los actores de amenazas la capacidad de comprometer un dispositivo virtual en el borde de la crimson, un entorno que la mayoría de los equipos de seguridad no analizarían en busca de amenazas de seguridad, dice.

Acceso completo

«Si tiene acceso a la máquina digital, tiene acceso completo dentro de la red, pero lo que es más importante, puede rastrear todo el tráfico que pasa, incluido el tráfico VPN descifrado», dice Baines. «Por lo tanto, es un lugar realmente excelente para que un atacante se relaje y pivote, pero probablemente solo husmee en busca de credenciales o controle el tráfico que fluye hacia la red».

Baines descubrió el problema cuando estaba investigando Cisco ASDM para obtener «un nivel establecido sobre cómo funciona la GUI (interfaz gráfica de usuario)» y separar el protocolo, dice.

Los atacantes podrían utilizar un componente instalado en los sistemas de los administradores, conocido como lanzador de ASDM, para entregar código malicioso en archivos de clase Java o a través del portal world-wide-web de ASDM. Como resultado, los atacantes podrían crear un paquete ASDM malicioso para comprometer el sistema del administrador a través de instaladores, páginas net maliciosas y componentes Java maliciosos.

Las vulnerabilidades de ASDM descubiertas por Quick7 incluyen una vulnerabilidad conocida (CVE-2021-1585) que permite un ataque de ejecución remota de código (RCE) no autenticado, que Cisco afirmó que fue parcheado en una actualización reciente, pero Baines descubrió que permanecía.

Además de los problemas de ASDM, Rapid7 encontró un puñado de debilidades de seguridad en el módulo de firewall de próxima generación de Firepower, incluida una vulnerabilidad de inyección de comando remoto autenticado (CVE-2022-20828). El módulo Firepower es una máquina digital basada en Linux alojada en el dispositivo ASA y ejecuta el computer software de escaneo Snort para clasificar el tráfico, según el aviso de Rapid7.

«La conclusión closing de este problema debería ser que exponer ASDM a Net podría ser muy peligroso para ASA que united states el módulo Firepower». los estados de alerta. «Si bien esto podría ser un ataque con credenciales, como se señaló anteriormente, el esquema de autenticación predeterminado de ASDM revela el nombre de usuario y las contraseñas para MitM activo [machine-in-the-middle] atacantes».

La actualización puede ser compleja para los dispositivos Cisco ASA, lo que representa un problema para las empresas a la hora de mitigar las vulnerabilidades. La versión más ampliamente implementada del program ASA tiene cinco años, dice Baines. Solo alrededor de la mitad de las instalaciones actualizaron su software package ASA dentro de los siete días a la última versión, agrega.

«No hay una función de parche automático, por lo que la versión más well known del sistema operativo del dispositivo es bastante antigua», dice Baines.

Cisco también ha tenido que lidiar con problemas de seguridad en sus otros productos. La semana pasada, Cisco reveló un trío de vulnerabilidades en su serie RV de enrutadores para pequeñas empresas. Las vulnerabilidades podrían usarse juntas para permitir que un atacante ejecute código arbitrario en los enrutadores de las series RV160, RV260, RV340 y RV345 de Cisco Smaller Business sin autenticarse primero.



Enlace a la noticia initial