Cisco lanzó el miércoles parches para contener múltiples fallas en su software que podrían ser objeto de abuso para filtrar información confidencial en dispositivos susceptibles.
El problema, asignado el identificador CVE-2022-20866 (puntaje CVSS: 7.4), se ha descrito como un «error lógico» cuando se manejan claves RSA en dispositivos que ejecutan el software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD).
La explotación exitosa de la falla podría permitir que un atacante recupere la clave privada RSA por medio de un Ataque de canal lateral de Lenstra contra el dispositivo objetivo.
«Si un atacante obtiene la clave privada RSA, podría usar la clave para hacerse pasar por un dispositivo que ejecuta el software Cisco ASA o el software Cisco FTD o para descifrar el tráfico del dispositivo», advirtió Cisco en un aviso emitido el 10 de agosto.
Cisco señaló que la falla afecta solo las versiones 9.16.1 y posteriores del software Cisco ASA y las versiones 7.0.0 y posteriores del software Cisco FTD. Los productos afectados se enumeran a continuación:
- ASA 5506-X con servicios FirePOWER
- ASA 5506H-X con servicios FirePOWER
- ASA 5506W-X con servicios FirePOWER
- ASA 5508-X con servicios FirePOWER
- ASA 5516-X con servicios FirePOWER
- Cortafuegos de última generación de la serie Firepower 1000
- Dispositivos de seguridad de la serie Firepower 2100
- Dispositivos de seguridad de la serie Firepower 4100
- Dispositivos de seguridad de la serie Firepower 9300, y
- Cortafuegos seguro 3100
Se lanzaron las versiones 9.16.3.19, 9.17.1.13 y 9.18.2 del software ASA y las versiones 7.0.4, 7.1.0.2-2 y 7.2.0.1 del software FTD para abordar la vulnerabilidad de seguridad.
Cisco le dio crédito a Nadia Heninger y George Sullivan de la Universidad de California en San Diego ya Jackson Sippe y Eric Wustrow de la Universidad de Colorado Boulder por reportar el error.
Cisco también corrigió una falla de contrabando de solicitudes del lado del cliente en el VPN SSL sin cliente (WebVPN) del software Cisco Adaptive Security Appliance (ASA) que podría permitir que un atacante remoto no autenticado realice ataques basados en navegador, como secuencias de comandos entre sitios, contra la víctima.
La empresa dijo que la debilidad, CVE-2022-20713 (puntuación CVSS: 4.3), afectar los dispositivos Cisco que ejecutan una versión del software Cisco ASA anterior a la versión 9.17(1) y tener activada la función Clientless SSL VPN.
Si bien no existen soluciones para remediar la falla, los usuarios afectados pueden deshabilitar la función Clientless SSL VPN, aunque Cisco advierte que hacerlo «puede afectar negativamente la funcionalidad o el rendimiento» de la red.
El desarrollo se produce como empresa de ciberseguridad Rapid7 revelado detalles de 10 errores encontrados en ASA, Adaptive Security Device Manager (ASDM) y el software de servicios FirePOWER para ASA, siete de los cuales ya han sido abordados por Cisco.
Éstos incluyen CVE-2022-20829 (puntuación CVSS: 9,1), CVE-2022-20651 (puntuación CVSS: 5,5), CVE-2021-1585 (puntuación CVSS: 7,5), CVE-2022-20828 (puntaje CVSS: 6.5) y otros tres defectos a los que no se les ha asignado un identificador CVE.