Vulnerabilidad alta de Cisco Meraki MX y Z Series AnyConnect VPN
Cisco recientemente ha publicado una nueva actualización de seguridad para corregir una vulnerabilidad en el servidor Cisco AnyConnect VPN, que afecta a los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway.
Esta vulnerabilidad está identificada como CVE-2025-20212 y tiene una puntuación CVSS de 7.7. El problema se origina por dos razones principales, la primera razón está en los identificadores aleatorias que se generan al iniciar sesión en la VPN, y la segunda razón es un fallo en la forma en que se procesan las solicitudes de conexión a la VPN, lo que podría provocar que varias acciones ocurran al mismo tiempo sin el control adecuado o en la falta de inicialización de una variable durante la conexión a la VPN.
La vulnerabilidad podría permitir que un atacante externo con credenciales validas interfiera en la conexión de los usuarios que utilizan la VPN. Y en el peor de los casos un atacante podría tomar el control de una sesión activa o impedir que alguien se conecte a la red. Además, esto también podría ocasionar el reinicio del servidor Cisco AnyConnect VPN lo que interrumpiría las sesiones de VPN activas y obligaría a los usuarios a restablecer la conexión y autenticarse nuevamente.
También si el atacante ejecuta el ataque de forma repetida en un corto periodo de tiempo, podría generar una denegación de servicio (DoS) que impedirá nuevas conexiones exitosas en la VPN. Algunas de las consecuencias que puede causar la explotación de esta vulnerabilidad podría ser el robo de datos confidenciales, espionaje o incluso ataques dentro de la red interna de una organización.
Para solucionar este problema Cisco ha lanzado una actualización de software que corrige la falla en los dispositivos afectados. Otra forma de mitigar esta vulnerabilidad es deshabilitar AnyConnect VPN pero esto dejaría sin acceso a los usuarios remota.
La vulnerabilidad afecta a los siguientes productos de Cisco Meraki que tienen habilitado Cisco AnyConnect VPN:
-
Cisco Meraki MX64
-
Cisco Meraki MX64W
-
Cisco Meraki MX65
-
Cisco Meraki MX65W
-
Cisco Meraki MX67
-
Cisco Meraki MX67C
-
Cisco Meraki MX67W
-
Cisco Meraki MX68
-
Cisco Meraki MX68CW
-
Cisco Meraki MX68W
-
Cisco Meraki MX75
-
Cisco Meraki MX84
-
Cisco Meraki MX85
-
Cisco Meraki MX95
-
Cisco Meraki MX100
-
Cisco Meraki MX105
-
Cisco Meraki MX250
-
Cisco Meraki MX400
-
Cisco Meraki MX450
-
Cisco Meraki MX600
-
Cisco Meraki vMX
-
Cisco Meraki Z3
-
Cisco Meraki Z3C
-
Cisco Meraki Z4
-
Cisco Meraki Z4C
Versiones Afectadas
|
Versiones afectadas |
Versión parcheada |
|
Cisco Meraki MX antes de la versión 16.2 |
No se ve afectado. |
|
Cisco Meraki MX 16.2 |
Migrar a una versión fija. |
|
Cisco Meraki MX 17 |
Migrar a una versión fija. |
|
Cisco Meraki MX 18.1 |
18.107.12 |
|
Cisco Meraki MX 18.2 |
18.211.4 |
|
Cisco Meraki MX 19.1 |
19.1.4 |
Recomendaciones
-
Si cuenta con algún producto Cisco de los siguientes:
- Actualice Cisco Meraki MX 16.2 a una versión fija
- Actualice Cisco Meraki MX 17 a una versión fija
- Actualice Cisco Meraki MX 18.1 a la versión 18.107.12
- Actualice Cisco Meraki MX 18.2 a la versión 18.211.4
- Actualice Cisco Meraki MX 19.1 a la versión 19.1.4
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Cisco Meraki MX and Z Series AnyConnect VPN Denial of Service Vulnerability. (2025, abril 02). Recuperado el 03 de abril del 2025, en:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-vNRpDvfb
-
CVE-2025-20212. (2025, abril 02). CVERecord. Recuperado el 03 de abril del 2025, en:https://www.cve.org/CVERecord?id=CVE-2025-20212
