Vulnerabilidades en productos Cisco

08/05/2020
Encontradas 12 nuevas vulnerabilidades de alta severidad, que afectan a diversos productos de Cisco y permitirían diferentes tipos de ataque de manera remota y sin necesidad de autenticación.

Riesgo: Alto Alto
Sistemas afectados:
  • Productos de Cisco si están ejecutando Cisco ASA (Adaptive Security Appliance), con autenticación Kerberos configurada para VPN, o acceso a dispositivos locales;
  • productos de Cisco que ejecutan una versión vulnerable de Cisco ASA o Cisco FTD (Firepower Threat Defense), que están configurados para admitir el enrutamiento OSPF (Open Shortest Path First) con el procesamiento de bloques LLS (Link-Local Signaling) habilitado;
  • productos de Cisco si están ejecutando una versión vulnerable de Cisco ASA o Cisco FTD y tienen una función habilitada para procesar mensajes SSL/TLS, pero no limitado a:
    • AnyConnect SSL VPN,
    • Clientless SSL VPN,
    • WebVPN,
    • servidor HTTP utilizado para la interfaz de administración;
  • versiones vulnerables de Cisco ASA o Cisco FTD, cuando se configura con el protocolo IPv6;
  • productos de Cisco si están ejecutando una versión vulnerable de Cisco ASA o Cisco FTD, y están configurados para inspeccionar el tráfico de MGCP (Media Gateway Control Protocol);
  • Cisco FTD, versiones:
    • 6.3.0 y 6.4.0,
    • 6.2.3.12, 6.2.3.13, 6.2.3.14 y 6.2.3.15, si VPN System Logging está configurado;
  • productos de Cisco si están ejecutando una versión vulnerable de Cisco FTD, y están configurados con una política de control de acceso para bloquear ciertos tipos de tráfico.

 

Descripción:

Las actualizaciones disponibles corrigen las vulnerabilidades, que provocarían ataques del tipo Denegación de Servicio (DoS), omisión de autenticación, pérdida de memoria, reinicios del dispositivo, e incluso acceso a información confidencial.

 

Solución:

Aplicar las actualizaciones que corrigen las vulnerabilidades indicadas y que pueden descargarse desde el panel de descarga de Software Cisco.

Fuente: incibe-cert