{"id":27916,"date":"2022-10-13T13:29:56","date_gmt":"2022-10-13T11:29:56","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27916"},"modified":"2022-10-17T09:56:54","modified_gmt":"2022-10-17T07:56:54","slug":"defcon30-cisco-updates-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/","title":{"rendered":"Actualizaciones vulnerables en el software empresarial de Cisco"},"content":{"rendered":"<p>Entre las presentaciones en la conferencia Black Hat 2022 del pasado mes de agosto, hubo pocas que tuvieran realmente una utilidad pr\u00e1ctica para los administradores de sistemas y los responsables de seguridad. Sin embargo, s\u00ed hubo una grata excepci\u00f3n: el informe de Jacob Baines, el investigador de Rapid7, que habl\u00f3 en detalle sobre c\u00f3mo llev\u00f3 a cabo el an\u00e1lisis del<em> software<\/em> empresarial de Cisco y encontr\u00f3 en \u00e9l m\u00faltiples vulnerabilidades. Los hallazgos de Jacob est\u00e1n disponibles <a href=\"https:\/\/i.blackhat.com\/USA-22\/Thursday\/US-22-Baines-Do-Not-Trust-The-ASA-Trojans.pdf\" target=\"_blank\" rel=\"noopener nofollow\">en formato presentaci\u00f3n<\/a>, en formato <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/08\/11\/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software\/\" target=\"_blank\" rel=\"noopener nofollow\">informe<\/a> m\u00e1s detallado y como un <a href=\"https:\/\/github.com\/jbaines-r7\/cisco_asa_research\" target=\"_blank\" rel=\"noopener nofollow\">conjunto<\/a> de herramientas en GitHub.<\/p>\n<p>Jacob encontr\u00f3 10 problemas que afectan al <em>software<\/em> <em>Cisco Adaptive Security<\/em>, <em>Adaptive Security Device Manager<\/em> y <em>Firepower Services Software for ASA<\/em>. Estas soluciones de <em>software<\/em> controlan una gran variedad de sistemas Cisco para usuarios empresariales, entre los que se incluyen los <em>firewalls <\/em>de <em>hardware<\/em> y las soluciones de seguridad empresarial de extremo a extremo, entre otros. Cisco reconoci\u00f3 siete de estos problemas como vulnerabilidades, sin embargo, seg\u00fan el proveedor, los tres restantes no afectan a la seguridad. En el momento en el que se divulg\u00f3 esta informaci\u00f3n, dos de las siete vulnerabilidades no se hab\u00edan solucionado, a pesar de que Rapid7 inform\u00f3 a Cisco en febrero\/marzo de 2022 (otra se solucion\u00f3 m\u00e1s tarde, supuestamente).<\/p>\n<h2>\u00bfCu\u00e1les son las vulnerabilidades?<\/h2>\n<p>Echemos un vistazo a dos de los m\u00e1s importantes. La vulnerabilidad <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asa-asdm-sig-NPKvwDjm\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20829<\/a> se relaciona con el m\u00e9todo de entrega de actualizaciones utilizado en el <em>software<\/em> Cisco ASA. El error es bastante insignificante: los paquetes de actualizaci\u00f3n binarios no se validan durante la instalaci\u00f3n; no hay una verificaci\u00f3n de la firma digital ni nada por el estilo. Rapid7 mostr\u00f3 c\u00f3mo modificar los paquetes binarios de Cisco ASDM para ejecutar c\u00f3digo arbitrario cuando se procese.<\/p>\n<p>La segunda vulnerabilidad a destacar es <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asdm-rce-gqjShXW\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1585<\/a>. Fue <a href=\"https:\/\/gist.github.com\/mlashley\/7d2c16e91fe37c9ab3b2352615540025\" target=\"_blank\" rel=\"noopener nofollow\">descubierta<\/a> a finales de 2020 por el investigador Malcolm Lashley. Este descubri\u00f3 que, cuando se entregan las actualizaciones, el certificado necesario para establecer una conexi\u00f3n segura a trav\u00e9s de un protocolo de enlace TLS se procesa incorrectamente. Esto, a su vez, permite que un atacante lleve a cabo un ataque <em>man-in-the-middle<\/em> contra los clientes de Cisco, es decir, sustituyendo su propio recurso por una fuente de actualizaci\u00f3n leg\u00edtima. Esto permite introducir y ejecutar c\u00f3digo malicioso en lugar de un parche. Esta vulnerabilidad tiene una historia interesante: Malcolm Lashley inform\u00f3 sobre ella a Cisco en diciembre de 2020. En julio de 2021, Cisco public\u00f3 los detalles de la vulnerabilidad sin que se lanzara un parche. En julio de 2022, la vulnerabilidad se marc\u00f3 como cerrada en el portal interno para clientes de la empresa. Despu\u00e9s, Rapid7 demostr\u00f3 que no era as\u00ed: si hab\u00eda un parche, este no funcionaba.<\/p>\n<p>El resto de las vulnerabilidades tampoco pueden describirse como insignificantes. Por ejemplo, la vulnerabilidad <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asasfr-cmd-inject-PE4GfdG\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20828<\/a> se puede utilizar para atacar a un administrador del sistema mediante acceso remoto. La demostraci\u00f3n de Rapid7 ejemplifica c\u00f3mo, introduciendo un solo comando, un atacante potencial puede obtener acceso completo al sistema. Adem\u00e1s, Rapid7 descubri\u00f3 que los m\u00f3dulos de arranque de FirePOWER no se escanean en ning\u00fan momento. Esto significa que, si se repara alguna vulnerabilidad en el<em> software<\/em>, siempre ser\u00e1 posible revertir la imagen de arranque a una versi\u00f3n anterior que no est\u00e9 parcheada. A pesar de que existe la posibilidad de poder revertir la reparaci\u00f3n de la vulnerabilidad en ataques reales, Cisco ni siquiera lo consider\u00f3 un problema de seguridad.<\/p>\n<h2>Dificultades de entrega de actualizaciones<\/h2>\n<p>Estas vulnerabilidades muestran que el sistema de entrega de actualizaciones puede dejar mucho que desear incluso en el <em>software<\/em> empresarial integrado con soluciones corporativas de alta gama. Hace poco <a href=\"https:\/\/www.kaspersky.es\/blog\/defcon30-zoom-vulnerability\/27616\/\" target=\"_blank\" rel=\"noopener\">escribimos<\/a> un art\u00edculo sobre un problema de concepto similar en el <em>software<\/em> del cliente web Zoom para los dispositivos Apple de los consumidores. El proceso de comprobaci\u00f3n de las actualizaciones parec\u00eda bastante seguro: el acceso al servidor se realizaba a trav\u00e9s de una conexi\u00f3n segura y el archivo de actualizaci\u00f3n estaba firmado digitalmente. Pero el procedimiento de verificaci\u00f3n de la firma permit\u00eda ejecutar cualquier cosa en lugar de un archivo ejecutable leg\u00edtimo, y con los privilegios m\u00e1s altos. Tambi\u00e9n encontramos otro ejemplo de \u201cactualizaciones maliciosas\u201d que se utilizan en ataques reales: en 2018, los investigadores de Kaspersky <a href=\"https:\/\/www.kaspersky.es\/blog\/web-sas-2018-apt-announcement\/15499\/\" target=\"_blank\" rel=\"noopener\">detectaron<\/a> este m\u00e9todo en la campa\u00f1a Slingshot APT para comprometer los <em>routers<\/em> Mikrotik.<\/p>\n<p>En el caso de Cisco, la verificaci\u00f3n de la firma digital de las actualizaciones de paquetes binarios de ASDM ni siquiera se tuvo que pasar por alto: simplemente no exist\u00eda (supuestamente apareci\u00f3 un mecanismo en agosto de 2022, pero a\u00fan no se ha demostrado su fiabilidad). A decir verdad, todos los ataques propuestos por los investigadores en las Black Hat son bastante dif\u00edciles de llevar a cabo. Pero, si hay riesgos, estos deben tomarse en serio, ya que podr\u00edamos estar hablando de empresas que tienen mucho que perder ante ataques de <em>ransomware <\/em>que lleven a cabo el cifrado de archivos o el robo de secretos comerciales.<\/p>\n<h2>Qu\u00e9 hacer al respecto<\/h2>\n<p>Dadas las especificidades de estas vulnerabilidades, la principal recomendaci\u00f3n del investigador de Rapid7 es limitar el trabajo en modo administrador con acceso completo, en la medida de lo posible. Y con esto no solo se refiere a tener altos privilegios mientras se est\u00e1 conectado a la infraestructura de forma remota, hay muchos ejemplos que demuestran que es posible sufrir un ataque malicioso incluso de forma <em>offline<\/em> con el m\u00e1ximo aislamiento mediante actualizaciones maliciosas o un simple <em>script<\/em> que explote una vulnerabilidad de <em>software<\/em>. La atenta monitorizaci\u00f3n de aquellas personas que tienen un acceso completo a la infraestructura y tambi\u00e9n la limitaci\u00f3n de las acciones realizadas como administrador ayudar\u00e1n a reducir el riesgo de sufrir un ataque exitoso. Sin embargo, el riesgo no desaparece por completo\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo hasta las soluciones empresariales de alta gama pueden tener errores &#8220;de principiante&#8221; en sus sistemas de entrega de actualizaciones. <\/p>\n","protected":false},"author":2411,"featured_media":27917,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[463,893,784],"class_list":{"0":"post-27916","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-actualizaciones","10":"tag-def-con","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-cisco-updates-vulnerabilities\/24737\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/20208\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/27211\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-cisco-updates-vulnerabilities\/25065\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-cisco-updates-vulnerabilities\/11097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/45718\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-cisco-updates-vulnerabilities\/31112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-cisco-updates-vulnerabilities\/30802\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27916"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27916\/revisions"}],"predecessor-version":[{"id":27928,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27916\/revisions\/27928"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27917"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}