Vulnerabilidad en Cisco Firepower Threat Defense Software (CVE-2024-20412, CVSS 9.3, Critica)

El pasado 23 de octubre de 2024, Cisco publicó varios avisos de seguridad que afectaban a sus productos, abordando vulnerabilidades con criticidad que va desde media hasta crítica. Entre los avisos de seguridad emitidos, se encontraba una vulnerabilidad que afecta al software Cisco Firepower Threat Defense, identificada como CVE-2024-20412 y clasificada con una criticidad crítica. [1]
La CVE-2024-20412 recae en una falla de seguridad provocado por la presencia de cuentas estáticas con contraseñas hard-coded (escritas explícitamente en el código), lo cual puede ser aprovechado por atacantes para obtener acceso al sistema afectado desde la consola de comandos. Una vez dentro, podria tener acceso a información sensible, modificar algunas configuraciones o hacer que el dispositivo sea incapaz de iniciar. [1]

Ejemplo de la verificación de cuentas estáticas en un dispositivo. [1]

Para verificar las cuentas estáticas dentro del dispositivo, se pueden usar los siguientes comandos: [1]
Firepower# scope security
Firepower /security # show local-user

Indicadores de compromiso:

Para verificar si un dispositivo se ha comprometido, podemos acceder a la consola de comandos y usar el modo experto para comprobar si una cuenta estática ha iniciado sesión anteriormente, introduciendo los siguientes comandos: [1]

Si el output se muestra vacio entonces el dispositivo no se ha comprometido.

Ejemplo de un output de un equipo comprometido. [1]
 

Versiones Afectadas

Los siguientes productos se ven afectados siempre y cuando se encuentren entre las versiones 7.1 y 7.4 de Cisco FTD Software. [1]

• Firepower 1000 Series
• Firepower 2100 Series
• Firepower 3100 Series
• Firepower 4200 Series

Los productos antes mencionados que fueron actualizados desde una versión anterior a la 7.1  esta no se ven afectados; es necesario que la versión 7.1 ya esté instalada para que el dispositivo sea vulnerable. [1]
 

Recomendaciones

• Contactar con el equipo de Cisco Technical Assistance Center (TAC) para aplicar un workaround en caso de no poder actualizar a una versión parchada.
• Actualizar la versión del sistema operativo a 7.6 o superior.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. CISCO. (2024. Octubre 23) Cisco Firepower Threat Defense Software for Firepower 1000, 2100, 3100, and 4200 Series Static Credential Vulnerability. Recuperado el 30 de octubre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-statcred-dFC8tXT5

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios