{"id":25377,"date":"2022-10-17T11:50:51","date_gmt":"2022-10-17T17:50:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25377"},"modified":"2022-10-17T11:50:51","modified_gmt":"2022-10-17T17:50:51","slug":"defcon30-cisco-updates-vulnerabilities","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/","title":{"rendered":"Actualizaciones vulnerables en el software empresarial de Cisco"},"content":{"rendered":"<p>En la conferencia Black Hat 2022 del pasado mes de agosto, entre las presentaciones hubo pocas que realmente tuvieran alguna utilidad pr\u00e1ctica para los administradores de sistemas y los responsables de seguridad. No obstante, existi\u00f3 una grata excepci\u00f3n: el informe de Jacob Baines, investigador de Rapid7, quien habl\u00f3 a detalle sobre c\u00f3mo analiz\u00f3 el<em> software<\/em> empresarial de Cisco y c\u00f3mo se encontr\u00f3 con m\u00faltiples vulnerabilidades. Los hallazgos de Jacob est\u00e1n disponibles <a href=\"https:\/\/i.blackhat.com\/USA-22\/Thursday\/US-22-Baines-Do-Not-Trust-The-ASA-Trojans.pdf\" target=\"_blank\" rel=\"noopener nofollow\">en formato presentaci\u00f3n<\/a>, con m\u00e1s detalle en formato <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/08\/11\/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software\/\" target=\"_blank\" rel=\"noopener nofollow\">informe<\/a> y como un <a href=\"https:\/\/github.com\/jbaines-r7\/cisco_asa_research\" target=\"_blank\" rel=\"noopener nofollow\">conjunto<\/a> de herramientas en GitHub.<\/p>\n<p>Jacob se encontr\u00f3 con 10 problemas que afectan al <em>software<\/em> <em>Cisco Adaptive Security<\/em>, <em>Adaptive Security Device Manager<\/em> y <em>Firepower Services Software for ASA<\/em>. Dichas soluciones de <em>software<\/em> controlan una basta cantidad de sistemas Cisco para usuarios empresariales, entre los que se encuentran los <em>firewalls <\/em>de <em>hardware<\/em> y las soluciones de seguridad empresarial de extremo a extremo, entre otros. Cisco reconoci\u00f3 que siete de estos problemas son vulnerabilidades, sin embargo, seg\u00fan el proveedor, los tres que restan no atentan contra la seguridad. Al momento en que esta informaci\u00f3n se divulg\u00f3, dos de las siete vulnerabilidades segu\u00edan sin soluci\u00f3n, a pesar de que Rapid7 inform\u00f3 a Cisco en febrero\/marzo de 2022 (otra, supuestamente, se solucion\u00f3 m\u00e1s tarde).<\/p>\n<h2>\u00bfEn qu\u00e9 consisten las vulnerabilidades?<\/h2>\n<p>Echemos un vistazo a dos de las m\u00e1s importantes. La vulnerabilidad <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asa-asdm-sig-NPKvwDjm\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20829<\/a> est\u00e1 correlacionada con el m\u00e9todo de entrega de actualizaciones que se usa en el <em>software<\/em> Cisco ASA. Y es un error muy insignificante: los paquetes de actualizaci\u00f3n binarios no son validados en la instalaci\u00f3n; no hay una verificaci\u00f3n de la firma digital ni nada por el estilo. Rapid7 mostr\u00f3 c\u00f3mo modificar los paquetes binarios de Cisco ASDM para poder ejecutar c\u00f3digo arbitrario al momento de procesar.<\/p>\n<p>La siguiente vulnerabilidad por destacar es <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asdm-rce-gqjShXW\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1585<\/a>. Fue <a href=\"https:\/\/gist.github.com\/mlashley\/7d2c16e91fe37c9ab3b2352615540025\" target=\"_blank\" rel=\"noopener nofollow\">descubierta<\/a> por el investigador Malcolm Lashley a finales de 2020. Este descubri\u00f3 que, cuando se entregan las actualizaciones, el certificado necesario para establecer una conexi\u00f3n segura mediante un protocolo de enlace TLS se procesa incorrectamente. Esto permite que un atacante lleve a cabo, a su vez, \u00a0un ataque <em>man-in-the-middle<\/em> contra los clientes de Cisco, al sustituir su propio recurso por una fuente de actualizaci\u00f3n leg\u00edtima. Esto, en lugar de un parche, permite introducir y ejecutar c\u00f3digo malicioso. Esta vulnerabilidad tiene una historia interesante: Malcolm Lashley inform\u00f3 sobre ella a Cisco en diciembre de 2020. En julio de 2021, Cisco public\u00f3 los detalles de esta sin lanzar un parche. En julio de 2022, la vulnerabilidad se marc\u00f3 como cerrada en el portal interno para clientes de la empresa. M\u00e1s tarde, Rapid7 demostr\u00f3 que no era verdad: el parche s\u00ed exist\u00eda, pero no funcionaba.<\/p>\n<p>Y tampoco podemos describir el resto de las vulnerabilidades como insignificantes. Por ejemplo, la vulnerabilidad <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asasfr-cmd-inject-PE4GfdG\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20828<\/a> puede usarse para atacar a un administrador del sistema mediante acceso remoto. La demostraci\u00f3n de Rapid7 ejemplifica c\u00f3mo, con solo introducir un comando, un atacante potencial puede acceder completamente al sistema. Rapid7 tambi\u00e9n descubri\u00f3 que los m\u00f3dulos de arranque de FirePOWER no son escaneados en ning\u00fan momento. Esto quiere decir que, si se repara alguna vulnerabilidad en el<em> software<\/em>, siempre se podr\u00e1 revertir la imagen de arranque a una versi\u00f3n anterior que no tenga parche. A pesar de que la posibilidad de revertir la reparaci\u00f3n de la vulnerabilidad en ataques reales s\u00ed existe, Cisco ni siquiera lo consider\u00f3 un problema de seguridad.<\/p>\n<h2>Dificultades al entregar actualizaciones<\/h2>\n<p>Estas vulnerabilidades muestran que el sistema de entrega de actualizaciones puede dejar mucho que desear incluso en el <em>software<\/em> empresarial integrado con soluciones corporativas de alta gama. Hace poco <a href=\"https:\/\/latam.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/25259\/\" target=\"_blank\" rel=\"noopener\">escribimos<\/a> un art\u00edculo sobre un problema conceptualmente parecido en el <em>software<\/em> del cliente web Zoom para los consumidores de dispositivos Apple. El proceso para comprobar las actualizaciones parec\u00eda sumamente seguro: el acceso al servidor se realizaba mediante una conexi\u00f3n segura y el archivo de actualizaci\u00f3n estaba firmado digitalmente. Pero el procedimiento de verificaci\u00f3n de la firma permit\u00eda ejecutar cualquier cosa en lugar de un archivo ejecutable leg\u00edtimo, y con los privilegios m\u00e1s altos. Tambi\u00e9n encontramos otro ejemplo de \u201cactualizaciones maliciosas\u201d que eran usadas ataques reales: en 2018, los investigadores de Kaspersky <a href=\"https:\/\/latam.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/12615\/\" target=\"_blank\" rel=\"noopener\">detectaron<\/a> este m\u00e9todo en la campa\u00f1a Slingshot APT para comprometer los <em>routers<\/em> Mikrotik.<\/p>\n<p>En el caso de Cisco, ni siquiera se tuvo que pasar por alto la verificaci\u00f3n de la firma digital de las actualizaciones de paquetes binarios de ASDM: esta simplemente no exist\u00eda (supuestamente apareci\u00f3 un mecanismo en agosto de 2022, pero todav\u00eda no se demuestra su fiabilidad). En realidad, todos los ataques propuestos por los investigadores en las Black Hat son super complicados de realizar. Pero cada que hay un riesgo debe tomarse en cuenta, ya que podr\u00edamos estar hablando de empresas que podr\u00edan perder mucho ante ataques de <em>ransomware <\/em>que lleven a cabo el cifrado de archivos o el robo de secretos comerciales.<\/p>\n<h2>Qu\u00e9 hacer al respecto<\/h2>\n<p>Debido a lo espec\u00edficas que son estas vulnerabilidades, la recomendaci\u00f3n principal del investigador de Rapid7 es, en la medida de lo posible, limitar el trabajo en modo administrador con acceso completo. Y con esto no solo se refiere a tener altos privilegios mientras se est\u00e1 conectado a la infraestructura de forma remota, existen varios ejemplos que demuestran la posibilidad de sufrir un ataque malicioso incluso de forma <em>offline<\/em> con el m\u00e1ximo aislamiento a trav\u00e9s de actualizaciones maliciosas o con un simple <em>script<\/em> que explote una vulnerabilidad de <em>software<\/em>. Monitorizar de cerca a aquellas personas que tienen un acceso completo a la infraestructura y tambi\u00e9n limitar las acciones realizadas como administrador ayudar\u00e1n a reducir el riesgo de sufrir un ataque exitoso. No obstante, el riesgo no desaparece por completo\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo hasta las soluciones empresariales de alta gama pueden tener errores &#8220;de principiante&#8221; en sus sistemas para entregar actualizaciones.<\/p>\n","protected":false},"author":2411,"featured_media":25378,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[684,1349,647],"class_list":{"0":"post-25377","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-actualizaciones","10":"tag-def-con","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-cisco-updates-vulnerabilities\/24737\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/20208\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/27211\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-cisco-updates-vulnerabilities\/25065\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-cisco-updates-vulnerabilities\/11097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/45718\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-cisco-updates-vulnerabilities\/31112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-cisco-updates-vulnerabilities\/30802\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25377"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25377\/revisions"}],"predecessor-version":[{"id":25379,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25377\/revisions\/25379"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25378"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}