La vulnerabilidad se encuentra en la capa SSL de la funcionalidad VPN de ambos productos y ha recibido la puntuación máxima posible al considerarse crítica.
Cisco ha publicado el pasado día 29 un parche de seguridad para solucionar un fallo crítico en la capa SSL de la funcionalidad VPN de Cisco Adaptive Security Appliance (ASA) con identificador CVE-2018-0101. Cisco ha otorgado el CVSS máximo a esta vulnerabilidad y ha publicado la siguiente lista de productos afectados:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
La vulnerabilidad es explotable cuando la funcionalidad webvpn se encuentra activa y una interfaz se encuentra como ‘enabled’ en la configuración. Al cumplirse las condiciones, un atacante puede aprovechar el fallo para enviar paquetes XML especialmente manipulados y provocar un intento de duplicar una región libre en memoria, lo que produce el error. Firepower Threat Defense (FTD) también es vulnerable al incluir éste ASA.
El error permite la ejecución remota de código en los productos afectados y el reinicio del dispositivo. La única solución, a parte de desactivar la funcionalidad, es aplicar el parche liberado. Las versiones vulnerables son las 8.x y 9.x de ASA, y las posteriores a 6.2.2 de FTD. Los usuarios de ASA 8.x deben actualizar al menos a la versión 9.1.7.20.