Cisco ha publicado actualizaciones de seguridad para una vulnerabilidad que afecta a su software Secure Client. Una explotación exitosa podría permitir a los actores de amenazas robar el token de un usuario objetivo y establecer una sesión de red privada virtual (VPN). La vulnerabilidad rastreada como CVE-2024-20337 tiene una puntuación CVSS de 8,2, que se considera de alto riesgo. Se recomienda a las organizaciones que ejecutan las versiones vulnerables (que se enumeran a continuación en este Aviso sobre amenazas de ciberseguridad) que apliquen el último parche de inmediato.
¿Cuál es la amenaza?
Esta falla de alta gravedad puede provocar un ataque de inyección de avance de línea de retorno de carro (CRLF). Este tipo de ataque permite la ejecución de código y el acceso remoto no autorizado a sesiones de VPN. Dado que la información proporcionada por el usuario no está suficientemente validada, los atacantes pueden engañar a los usuarios para que hagan clic en un enlace manipulado mientras establecen una sesión VPN, que luego ejecutaría scripts arbitrarios en el navegador de la víctima o accedería a información confidencial.
¿Por qué es digno de mención?
Esta vulnerabilidad afecta a Cisco Secure Client para Windows, Linux y macOS. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token de lenguaje de marcado de afirmación de seguridad (SAML) válido.
¿Cuál es la exposición o riesgo?
Una vez que un atacante obtiene acceso a los tokens SAML, estos pueden usarse para establecer sesiones VPN de acceso remoto con el privilegio del usuario afectado para acceder a las redes internas locales cuando una víctima visita un sitio web bajo su control. Cisco mencionó que en el caso de que un atacante intente llegar a hosts y servicios individuales detrás de la cabecera VPN, se le exige tener credenciales adicionales antes de que se le conceda el acceso exitoso.
¿Cuáles son las recomendaciones?
Se recomienda las siguientes acciones para mitigar los efectos de CVE-2024-20337:
- Determine si la cabecera VPN está configurada para utilizar la función de navegador externo SAML mediante el comando show running-config Tunnel-group en Cisco ASA o FTD CLI. Los resultados mostrados indicarán si la función del navegador externo SAML está habilitada.
- Para asegurarse de que sus puntos finales sean seguros, los equipos de TI deben actualizar su software en consecuencia según la información de versión a continuación:
Referencias
Para obtener información más detallada sobre las recomendaciones, visite los siguientes enlaces:
- Vulnerabilidad de inyección de avance de línea de retorno de carro de cliente seguro de Cisco
- Cisco les dice a los usuarios de Secure Client que apliquen parches de inmediato o corren el riesgo de fallar la seguridad de la VPN | TecnologíaRadar
- Cisco publica un parche para un error de secuestro de VPN de alta gravedad en Secure Client (thehackernews.com)
- Cisco parchea vulnerabilidades de alta gravedad en productos VPN – SecurityWeek