Falla de secuestro de Cisco VPN en el software de cliente seguro parcheada
A la luz de los recientes acontecimientos, Cisco ha lanzado parches para dos vulnerabilidades de red de alta gravedad en su Secure Client. Según informes recientes, las vulnerabilidades que conducen a la falla de secuestro de Cisco VPN se están rastreando como CVE-2024-20337 y CVE-2024-20338. Estas vulnerabilidades de seguridad de VPN tienen una puntuación de gravedad de 8,2 y 7,3, respectivamente.
En este artículo, profundizaremos en las complejidades de la falla de secuestro de Cisco VPN, cómo podría ser explotada por los actores de amenazas y los detalles del parche.
Falla de secuestro de VPN de Cisco: Descripción de Secure Client
Comprender Cisco Secure Client antes de sumergirse en los detalles de la falla es esencial, ya que puede ayudar a comprender la gravedad de la falla con mayor precisión.
Cisco Secure Client es una herramienta de seguridad que ofrece compatibilidad con la red privada virtual (VPN) y la arquitectura de red Zero Trust (ZTNA) tanto a los profesionales de la tecnología de la información (TI) como a los de la seguridad. El software es conocido por ayudar a estos profesionales a administrar y escalar los agentes de endpoints de seguridad en una vista unificada.
Las organizaciones que utilizan Secure Client pueden garantizar conexiones VPN sin problemas. Además, también pueden implementar protocolos avanzados de protección de endpoints en varios puntos de control. Secure Client también se puede emparejar con otras soluciones de Cisco, lo que ayuda a las organizaciones a aumentar la visibilidad relacionada con el uso de las aplicaciones de punto final y el comportamiento del usuario.
Teniendo en cuenta esto, la falla de secuestro de Cisco VPN, si se explota, llevaría a los actores de amenazas a obtener acceso remoto, lo que les permitiría expandir la superficie de ataque.
CVE-2024-20337 y CVE-2024-20338 descubiertos
Según informes recientes, ambas vulnerabilidades que condujeron a la falla de secuestro de Cisco VPN fueron descubiertas por Paulos Yibelo Mesfin, investigador de seguridad de Amazon.
El experto en investigación de seguridad ha sido citado, afirmando que el par de vulnerabilidades de seguridad VPN , si se explota, permitiría a los actores de amenazas tener acceso a las redes internas locales cuando el usuario objetivo visita un sitio web bajo su control. Cualquiera de las fallas en este par de vulnerabilidades de seguridad VPN conduce a consecuencias algo similares para el usuario final si se explota.
Sin embargo, los protocolos de iniciación varían. Comprender cómo se podría explotar una u otra vulnerabilidad de red de alta gravedad es esencial para mitigar el secuestro de VPN y para desarrollar una estrategia de ciberseguridad sólida.
CVE-2024-20337
Esta vulnerabilidad de seguridad de VPN se encuentra dentro del proceso de autenticación SAML de Secure Client. Si se explota, esta vulnerabilidad de red de alta gravedad permitiría a los actores de amenazas iniciar un ataque de inyección de alimentación de línea de retorno de carro (CRLF).
Un atacante podría aprovecharse de esta vulnerabilidad engañando al usuario para que haga clic en un enlace creado con fines malintencionados mientras configura una sesión VPN. Según informes recientes, los ciberdelincuentes también podrían explotar la vulnerabilidad de seguridad de la VPN ejecutando código de script arbitrario en el navegador o accediendo a información confidencial, incluido un token SAML.
Este token se utiliza posteriormente para establecer una sesión VPN de acceso remoto en la que los actores de amenazas tienen los privilegios del usuario objetivo. Vale la pena mencionar aquí que aquellos que ejecutan versiones de productos sin el parche de vulnerabilidad de Cisco corren el riesgo de sufrir un ataque.
CVE-2024-20338
A diferencia de la anterior, esta vulnerabilidad de red de alta gravedad reside en el módulo de análisis del sistema de Secure Client para Linux. Los actores de amenazas pueden explotar esta vulnerabilidad y elevar los privilegios que han adquirido de forma maliciosa en los dispositivos afectados.
Esto les permitiría ampliar la superficie de ataque e infiltrarse en mayor medida en las redes de la organización. Para proporcionar más detalles, un extracto de la declaración del parche de seguridad de Cisco dice:
"Esta vulnerabilidad se debe al uso de un elemento de ruta de búsqueda no controlada. Un atacante podría aprovechar esta vulnerabilidad copiando un archivo de biblioteca malicioso en un directorio específico del sistema de archivos y persuadiendo a un administrador para que reinicie un proceso específico. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios de root".
Corrección de vulnerabilidades de software de Cisco
Hasta ahora, no ha habido informes de que estas vulnerabilidades se exploten activamente en la naturaleza. Vale la pena mencionar aquí que la vulnerabilidad afecta a Secure Client para Windows, macOS y Linux.
En lo que respecta a la gestión de parches de ciberseguridad para la falla de secuestro de Cisco VPN, las versiones anteriores a 4.10.04065 no están en riesgo. La versión 4.10.04065 de Secure Client recibió posteriormente el parche de seguridad de Cisco en la versión 4.10.08025. Aquellos que utilizan las versiones 5.0 a 5.1 de Secure Client deben migrar a 5.1.2.42.
Conclusión
A la luz del reciente descubrimiento, se puede afirmar que la falla de secuestro de Cisco VPN puede tener graves consecuencias, como el acceso no autorizado a las redes internas y la ejecución de privilegios si se explota.
Para evitar ser víctimas de la vulnerabilidad de red de alta gravedad, las organizaciones deben utilizar el parche de seguridad de Cisco e implementar protocolos avanzados de ciberseguridad. Hacerlo no solo garantizaría la protección, sino que también les ayudaría a ser más resistentes y proactivos en el panorama de amenazas cibernéticas en constante evolución.
Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.