Vulnerabilidades Críticas en Cisco Secure Firewall ASA, FMC y FTD

By /

Cisco ha revelado un extenso conjunto de vulnerabilidades de severidad crítica y alta que afectan a sus productos Secure Firewall ASA, FMC y FTD. Estos fallos incluyen bypass de autenticación, ejecución remota de código como root, inyecciones SQL y múltiples denegaciones de servicio (DoS) relacionadas con VPN SSL, IKEv2, IPsec y servicios web.

Esquema de la arquitectura de red con dispositivos Cisco ASA, FMC y FTD

Varias de estas vulnerabilidades ostentan una puntuación CVSS de 10.0, permitiendo a atacantes remotos no autenticados comprometer completamente dispositivos FMC o provocar reinicios y caídas en dispositivos ASA/FTD mediante el envío de paquetes manipulados, el consumo excesivo de memoria o errores en la gestión de conexiones TCP.

Vulnerabilidades de Ejecución Remota de Código y Bypass de Autenticación

Dentro de las vulnerabilidades más críticas se encuentran aquellas que permiten la ejecución remota de código y el bypass de autenticación, ofreciendo a los atacantes un control significativo sobre los sistemas afectados.

CVE-2026-20131: Ejecución Remota de Código como Root en Cisco Secure Firewall Management Center (FMC)

  • Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Secure Firewall Management Center (FMC) posibilita a un atacante remoto no autenticado ejecutar código Java arbitrario como root en el dispositivo afectado. Este fallo podría resultar en compromisos severos del sistema.

CVE-2026-20079: Bypass de Autenticación y Ejecución de Scripts en Cisco Secure Firewall Management Center (FMC)

  • Una vulnerabilidad en la interfaz web de Cisco Secure Firewall Management Center (FMC) permite a un atacante remoto no autenticado eludir la autenticación y ejecutar scripts en el dispositivo. Esto podría otorgar acceso de root al sistema operativo subyacente, comprometiendo gravemente la seguridad del dispositivo.

CVE-2025-20333: Ejecución de Código Arbitrario como Root en Cisco Secure Firewall ASA y FTD (Explotación Activa)

  • Una vulnerabilidad en el servidor web VPN de Cisco Secure Firewall Adaptive Security Appliance (ASA) Software y Cisco Secure Firewall Threat Defense (FTD) Software se debe a una validación incorrecta de las solicitudes de entrada proporcionadas por el usuario en HTTP(S). Un atacante con credenciales de usuario VPN válidas podría explotar esta vulnerabilidad enviando una petición HTTP manipulada al dispositivo afectado. En caso de explotación exitosa, un atacante autenticado de forma remota podría ejecutar código arbitrario como root y, posiblemente, lograr el compromiso completo del dispositivo. Cisco ha confirmado que esta vulnerabilidad está siendo explotada activamente.

CVE-2025-20363: Ejecución de Código Arbitrario en Servicios Web de Cisco ASA y FTD

  • Esta vulnerabilidad en los servicios web podría permitir a un atacante remoto no autenticado (en Cisco ASA y FTD Software) o autenticado con pocos privilegios (en Cisco IOS, IOS XE y IOS XR Software) ejecutar código arbitrario en el dispositivo afectado. La vulnerabilidad se origina por una validación incorrecta en las solicitudes de entrada proporcionadas por el usuario en HTTP(S). Un atacante podría explotarla enviando solicitudes HTTP manipuladas al servicio web de un dispositivo vulnerable después de obtener información adicional sobre el sistema, superar las medidas de mitigación de exploits o ambas cosas.

Vulnerabilidades de Denegación de Servicio (DoS)

Las vulnerabilidades de DoS pueden interrumpir gravemente la operatividad de los dispositivos, afectando la disponibilidad de servicios esenciales.

DoS relacionadas con VPN SSL y SAML 2.0

  • CVE-2026-20101: Una vulnerabilidad en la función de inicio de sesión único (SSO) de SAML 2.0 en Cisco Secure Firewall ASA Software y Secure FTD Software podría permitir a un atacante remoto no autenticado causar un reinicio inesperado del dispositivo, resultando en una condición de DoS. Este fallo se debe a una verificación insuficiente de errores al procesar mensajes SAML.
  • CVE-2026-20039: Una vulnerabilidad en el servidor web VPN de Cisco Secure Firewall ASA y FTD permite a un atacante remoto no autenticado provocar una condición de DoS, que puede resultar en el reinicio del dispositivo.
  • CVE-2026-20103: Una vulnerabilidad en la funcionalidad de VPN SSL de acceso remoto en Cisco Secure Firewall ASA y FTD permite que un atacante remoto no autenticado agote la memoria del dispositivo, provocando una condición de DoS para nuevas conexiones de VPN.
  • CVE-2026-20100: Una vulnerabilidad en el intérprete LUA de la función Remote Access SSL VPN de Cisco Secure Firewall ASA y FTD puede permitir a un atacante remoto autenticado causar una recarga inesperada del dispositivo, lo que resultaría en una condición de DoS. Esta falla se debe a la falta de validación de la entrada del usuario.
  • CVE-2026-20105: Una vulnerabilidad en la funcionalidad de Remote Access SSL VPN de Cisco Secure Firewall ASA y FTD permite a un atacante remoto autenticado con una conexión VPN válida agotar la memoria del dispositivo, causando una condición de DoS. El impacto podría llevar al reinicio del dispositivo.
  • CVE-2026-20106: Una vulnerabilidad en Cisco Secure Firewall Adaptive Security Appliance (ASA) Software y Secure Firewall Threat Defense (FTD) Software permite a atacantes remotos no autenticados agotar la memoria del dispositivo, provocando una condición de DoS que requiere un reinicio manual.

DoS relacionadas con IKEv2 y IPsec

  • CVE-2026-20049: Una vulnerabilidad en el procesamiento del tráfico IPsec IKEv2 cifrado con Galois/Counter Mode (GCM) en el software de Cisco Secure Firewall ASA y FTD podría permitir que un atacante remoto autenticado cause una DoS en el dispositivo afectado, con el potencial de un reinicio inesperado.
  • CVE-2026-20014: Una vulnerabilidad en la funcionalidad IKEv2 del software Cisco Secure Firewall ASA y Cisco Secure FTD permite que un atacante remoto autenticado con credenciales VPN válidas cause una condición de DoS en un dispositivo afectado. Esto podría afectar la disponibilidad de servicios en otros dispositivos de la red si el atacante envía paquetes IKEv2 autenticados y manipulados.
  • CVE-2026-20015: Una vulnerabilidad en la función IKEv2 de Cisco Secure Firewall ASA Software y Cisco Secure FTD Software permite a un atacante remoto y no autenticado causar una condición de DoS en el dispositivo afectado, lo que puede afectar la disponibilidad de servicios en otros dispositivos de la red. Para explotar esta vulnerabilidad, el atacante debe enviar paquetes IKEv2 diseñados específicamente.
  • CVE-2026-20013: Similar a las anteriores, esta vulnerabilidad en la función IKEv2 del software Cisco Secure Firewall ASA y Cisco Secure FTD permite a un atacante remoto no autenticado provocar una condición de DoS en un dispositivo afectado, impactando la disponibilidad de servicios.

Otros tipos de DoS

  • CVE-2026-20082: Una vulnerabilidad en el manejo de límites de conexión en Cisco Secure Firewall ASA podría permitir a un atacante remoto no autenticado que los paquetes TCP SYN entrantes se descarten incorrectamente. Esto podría resultar en una DoS al impedir todas las conexiones TCP entrantes, afectando el acceso de gestión remota y conexiones VPN.

Vulnerabilidades de Inyección SQL

Las inyecciones SQL representan una amenaza significativa para la integridad de los datos y el acceso no autorizado a la información sensible.

  • CVE-2026-20002: Una vulnerabilidad en la interfaz de gestión web de Cisco Secure FMC Software permite a un atacante remoto autenticado realizar ataques de inyección SQL. El impacto potencial incluye el acceso completo a la base de datos y la capacidad de leer archivos en el sistema operativo subyacente.
  • CVE-2026-20001: Una vulnerabilidad en la API REST del software Cisco Secure FMC permite que un atacante remoto autenticado realice ataques de inyección SQL. Esto podría permitir al atacante acceder a la base de datos y leer archivos del sistema operativo subyacente.
  • CVE-2026-20003: Una vulnerabilidad en la API REST del software Cisco Secure FMC permite a un atacante remoto autenticado realizar ataques de inyección SQL. Esto podría permitir al atacante obtener acceso de lectura a la base de datos y a ciertos archivos en el sistema operativo subyacente.

Otras Vulnerabilidades y Recomendaciones

Además de las categorías anteriores, se han identificado otras vulnerabilidades que requieren atención, así como recomendaciones clave de Cisco.

Vulnerabilidades de Canal Lateral y Modos Multicontexto

  • La explotación exitosa de una vulnerabilidad específica podría permitir que el atacante recupere la clave privada RSA por medio de un "ataque de canal lateral de Lenstra" contra el dispositivo objetivo. Cisco señaló que esta vulnerabilidad solo afecta a las versiones 9.16.1 y posteriores de Cisco ASA y las versiones 7.0.0 y posteriores de Cisco FTD.
  • CVE-2026-20062: Una vulnerabilidad en la CLI de Cisco Secure Firewall Adaptive Security Appliance (ASA) en modo de múltiples contextos permite a un atacante local autenticado con privilegios administrativos copiar archivos entre contextos. Esto puede poner en riesgo archivos de configuración sensibles.

CVE-2022-20713: Vulnerabilidad en Clientless SSL VPN

  • Cisco también informó de la vulnerabilidad CVE-2022-20713 (puntuación CVSS: 4.3) que afecta a los dispositivos que ejecutan una versión de Cisco ASA anterior a la versión 9.17(1) y tengan habilitada la función Clientless SSL VPN.

Regeneración de Claves RSA

  • Si un dispositivo FTD se actualizó a una versión vulnerable y luego se bajó a una versión no vulnerable (por ejemplo, se actualizó a la versión 7.0.0 y luego se bajó a la versión 6.4.0.15), las claves RSA en la versión no vulnerable podrían estar mal generadas o ser susceptibles porque se guardaron en una versión vulnerable.

55CNSMM | "Ataque de canal lateral en el esquema RSA".

Mitigación y Actualizaciones

Aunque no existen soluciones temporales, Cisco ha publicado actualizaciones que corrigen todos los fallos y recomienda revisar configuraciones sensibles como IKEv2, SSL VPN, cifrado GCM y modos multicontexto. Cisco recomienda que los clientes actualicen a la versión de software corregida indicada en cada asesoría para mitigar las vulnerabilidades descritas. No hay soluciones temporales disponibles para estas vulnerabilidades.

Para ayudar a los clientes a determinar su exposición a vulnerabilidades en el software, Cisco proporciona la herramienta Cisco Software Checker, que permite identificar cualquier asesoría de seguridad que afecte a una versión específica de software y la primera versión que corrige las vulnerabilidades descritas en cada asesoría ("Primera Corregida").

tags: #cisco #asa #ssl #vpn #vulnerabilidad

Publicaciones populares:

  • Deformaciones del pie: una guía completa
  • Análisis de derechos de niños, niñas y adolescentes
  • Información sobre pensiones bajas
  • Conozca el uso de los fondos del SENADIS
  • Descubre los subsidios asociados a la pensión de invalidez