Actualizaciones vulnerables en el software empresarial de Cisco

En la conferencia Black Hat 2022 del pasado mes de agosto, entre las presentaciones hubo pocas que realmente tuvieran alguna utilidad práctica para los administradores de sistemas y los responsables de seguridad. No obstante, existió una grata excepción: el informe de Jacob Baines, investigador de Rapid7, quien habló a detalle sobre cómo analizó el software empresarial de Cisco y cómo se encontró con múltiples vulnerabilidades. Los hallazgos de Jacob están disponibles en formato presentación, con más detalle en formato informe y como un conjunto de herramientas en GitHub.

Jacob se encontró con 10 problemas que afectan al software Cisco Adaptive Security, Adaptive Security Device Manager y Firepower Services Software for ASA. Dichas soluciones de software controlan una basta cantidad de sistemas Cisco para usuarios empresariales, entre los que se encuentran los firewalls de hardware y las soluciones de seguridad empresarial de extremo a extremo, entre otros. Cisco reconoció que siete de estos problemas son vulnerabilidades, sin embargo, según el proveedor, los tres que restan no atentan contra la seguridad. Al momento en que esta información se divulgó, dos de las siete vulnerabilidades seguían sin solución, a pesar de que Rapid7 informó a Cisco en febrero/marzo de 2022 (otra, supuestamente, se solucionó más tarde).

¿En qué consisten las vulnerabilidades?

Echemos un vistazo a dos de las más importantes. La vulnerabilidad CVE-2022-20829 está correlacionada con el método de entrega de actualizaciones que se usa en el software Cisco ASA. Y es un error muy insignificante: los paquetes de actualización binarios no son validados en la instalación; no hay una verificación de la firma digital ni nada por el estilo. Rapid7 mostró cómo modificar los paquetes binarios de Cisco ASDM para poder ejecutar código arbitrario al momento de procesar.

La siguiente vulnerabilidad por destacar es CVE-2021-1585. Fue descubierta por el investigador Malcolm Lashley a finales de 2020. Este descubrió que, cuando se entregan las actualizaciones, el certificado necesario para establecer una conexión segura mediante un protocolo de enlace TLS se procesa incorrectamente. Esto permite que un atacante lleve a cabo, a su vez,  un ataque man-in-the-middle contra los clientes de Cisco, al sustituir su propio recurso por una fuente de actualización legítima. Esto, en lugar de un parche, permite introducir y ejecutar código malicioso. Esta vulnerabilidad tiene una historia interesante: Malcolm Lashley informó sobre ella a Cisco en diciembre de 2020. En julio de 2021, Cisco publicó los detalles de esta sin lanzar un parche. En julio de 2022, la vulnerabilidad se marcó como cerrada en el portal interno para clientes de la empresa. Más tarde, Rapid7 demostró que no era verdad: el parche sí existía, pero no funcionaba.

Y tampoco podemos describir el resto de las vulnerabilidades como insignificantes. Por ejemplo, la vulnerabilidad CVE-2022-20828 puede usarse para atacar a un administrador del sistema mediante acceso remoto. La demostración de Rapid7 ejemplifica cómo, con solo introducir un comando, un atacante potencial puede acceder completamente al sistema. Rapid7 también descubrió que los módulos de arranque de FirePOWER no son escaneados en ningún momento. Esto quiere decir que, si se repara alguna vulnerabilidad en el software, siempre se podrá revertir la imagen de arranque a una versión anterior que no tenga parche. A pesar de que la posibilidad de revertir la reparación de la vulnerabilidad en ataques reales sí existe, Cisco ni siquiera lo consideró un problema de seguridad.

Dificultades al entregar actualizaciones

Estas vulnerabilidades muestran que el sistema de entrega de actualizaciones puede dejar mucho que desear incluso en el software empresarial integrado con soluciones corporativas de alta gama. Hace poco escribimos un artículo sobre un problema conceptualmente parecido en el software del cliente web Zoom para los consumidores de dispositivos Apple. El proceso para comprobar las actualizaciones parecía sumamente seguro: el acceso al servidor se realizaba mediante una conexión segura y el archivo de actualización estaba firmado digitalmente. Pero el procedimiento de verificación de la firma permitía ejecutar cualquier cosa en lugar de un archivo ejecutable legítimo, y con los privilegios más altos. También encontramos otro ejemplo de “actualizaciones maliciosas” que eran usadas ataques reales: en 2018, los investigadores de Kaspersky detectaron este método en la campaña Slingshot APT para comprometer los routers Mikrotik.

En el caso de Cisco, ni siquiera se tuvo que pasar por alto la verificación de la firma digital de las actualizaciones de paquetes binarios de ASDM: esta simplemente no existía (supuestamente apareció un mecanismo en agosto de 2022, pero todavía no se demuestra su fiabilidad). En realidad, todos los ataques propuestos por los investigadores en las Black Hat son super complicados de realizar. Pero cada que hay un riesgo debe tomarse en cuenta, ya que podríamos estar hablando de empresas que podrían perder mucho ante ataques de ransomware que lleven a cabo el cifrado de archivos o el robo de secretos comerciales.

Qué hacer al respecto

Debido a lo específicas que son estas vulnerabilidades, la recomendación principal del investigador de Rapid7 es, en la medida de lo posible, limitar el trabajo en modo administrador con acceso completo. Y con esto no solo se refiere a tener altos privilegios mientras se está conectado a la infraestructura de forma remota, existen varios ejemplos que demuestran la posibilidad de sufrir un ataque malicioso incluso de forma offline con el máximo aislamiento a través de actualizaciones maliciosas o con un simple script que explote una vulnerabilidad de software. Monitorizar de cerca a aquellas personas que tienen un acceso completo a la infraestructura y también limitar las acciones realizadas como administrador ayudarán a reducir el riesgo de sufrir un ataque exitoso. No obstante, el riesgo no desaparece por completo…