Vulnerabilidades críticas y altas en Cisco
Como es costumbre a inicios de mes Cisco público en su sitio oficial, avisos de seguridad que abordan vulnerabilidades en sus productos. Este mes la compañía publico 21 vulnerabilidades, 9 de criticidad media, 11 de criticidad alta y 1 clasificada como critica. De la cuales abordaremos las vulnerabilidades críticas y altas.
CVE-2025-20265
Esta vulnerabilidad afecta a Cisco Secure Firewall Management Center (FMC) pero solo a los productos que tengan configurado RADIUS como método de autentificación. Esta falla se origina por un error en el proceso de autentificación, en el cual las credenciales ingresadas no se validan correctamente y el sistema aun así permite la autentificación con privilegios elevados.
El sistema permite el acceso por que se maneja las credenciales ingresadas como datos en vez de instrucciones, lo que ocasiona un error en el proceso de validación de Cisco y RADIUS. Al ejecutarse las credenciales como instrucciones se genera otro proceso que ejecuta los datos ingresados como comandos, lo que puede permitir que atacantes puedan ejecutar código de forma remota con privilegios de administrador. Cisco le asigno a esta vulnerabilidad una puntuación de CVSS de 10 debido a la criticidad del CVE.
CVE-2025-20217
Esta vulnerabilidad afecta el funcionamiento del motor de detección Snort 3 de Cisco Secure Firewall Threat Defense (FTD) que es el encargado de inspeccionar paquetes y el tráfico en productos Cisco.
Esta falla es ocasionada por una validación insuficiente de las entradas en el procesamiento de paquetes, lo que puede permite que un atacante remoto no autenticado envié paquetes maliciosos que pueden hacer que Snort entre en un bucle lo que provocara que el sistema se reinicie y en consecuencia se deniegue el servicio. La vulnerabilidad tiene una puntuación de CVSS de 8.6 lo que se categoriza como criticidad alta.
CVE-2025-20222
Esta vulnerabilidad afecta las implementaciones de RADIUS en las conexiones de VPN Cisco Secure Firewall Adaptive Security Appliance (ASA) y Secure Firewall Threat Defense (FTD). Es ocasionada por un desbordamiento de búfer al procesar paquetes IPv6.
Este desbordamiento puede causar que el dispositivo se reinicie y se provoque una condición conocida como denegación de servicio, que los autores de amenazas pueden aprovechar esto para enviar paquetes IPv6 maliciosos para provocar el desborde y el reinicio del sistema. Se le asigno una puntuación de CVSS de 8.6 categorizándose como criticidad alta.
CVE-2025-20148
Esta vulnerabilidad afecta la interfaz web de administración de Cisco Secure Firewall Management Center (FMC) y se origina por una validación incorrecta de datos. Este fallo puede permitir que autores de amenazas remotos tomen ventaja y envíen datos maliciosos para inyectar contenido HTML arbitrario.
Los atacantes deben de contar con credenciales con pocos privilegios para poder explotar esta vulnerabilidad. Esta calificada como un CVSS de 8.5, lo que se categoriza como un CVE alto.
CVE-2025-20244
Esta vulnerabilidad afecta el servicio de VPN SSL para el software Cisco Secure Firewall Adaptive Security Appliance (ASA) y el software Cisco Secure Firewall Threat Defense (FTD) y permite ataque de denegación de servicio. Este CVE es originada por comprobaciones erróneas e incompletas cuando el sistema analiza solicitudes HTTP.
Los autores de amenazas para lograr explotar esta vulnerabilidad necesitan contar con credenciales validas y podrán enviar solicitudes especialmente diseñadas para que el sistema se reinicie. Se le asigno una puntuación de CVSS de 7.7 lo que la convierte en una vulnerabilidad critica.
CVE-2025-20133 y CVE-2025-20243
Estas vulnerabilidades afectan a los productos Cisco Secure Firewall ASA y Firepower Threat Defense (FTD), se originan por validaciones insuficientes de solicitudes HTTP. Estos CVE tiene una puntuación de CVSS de 8.6, lo que las clasifica como vulnerabilidades de criticidad alta.
Para la explotación de estas vulnerabilidades los atacantes no necesitan credenciales de autentificación y en caso de que se logre se podrán generar denegaciones de servicio en los productos afectados.
CVE-2025-20134
Esta vulnerabilidad afecta a los productos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) y es originada por múltiples errores en el procesamiento de los certificados SSL/ TLS que provoca corrupción en la memoria en consecuencia reinicios y denegaciones de servicio en los dispositivos afectados.
Esta vulnerabilidad se puede explotar de forma remota y los atacantes no necesitara de credenciales válidas para lograr la explotación. Este CVE tiene una puntuación de CVSS de 8.6.
CVE-2025-20136
Esta vulnerabilidad afecta a Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD) y es originada por errores en el proceso de inspección de paquetes de DNS cuando el dispositivo está configurando para NAT44, NAT64 o NAT46.
En caso de lograr la explotación de esta vulnerabilidad los atacantes podrán ocasionar denegaciones de servicio en los dispositivos afectados, a través del envió de paquetes DNS especialmente diseñados con reglas NAT que ocasionaran bucles infinitos y en consecuencia denegaciones de servicio. Es importantes mencionar que los atacantes no necesitan credenciales validas y se puede explotar de forma remota; este CVE tiene una puntuación de CVSS de 8.6 alta.
CVE-2025-20251
Esta vulnerabilidad afecta el servicio Remote Access SSL VPN en Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD). Se origina por una validación insuficiente en las solicitudes HTTP, lo que puede permite que autores de amenazas con credenciales de autenticación logren la explotación de la vulnerabilidad y puedan crear o eliminar archivos arbitrarios en el sistema, lo que en consecuencia permitiría en caídas, reinicios y denegación de servicio en los productos afectados. A este CVE esta clasificado como vulnerabilidad alta y tiene una puntuación de CVSS de 8.5.
CVE-2025-20224, CVE-2025-20225, CVE-2025-20239, CVE-2025-20252, CVE-2025-20253 y CVE-2025-20254
Estas vulnerabilidades afectan a la función Cisco Key Exchange Versión 2 (IKEv2) en Cisco IOS, Cisco IOS XE, Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD), y podrían permitir que atacantes remotos no autenticados provoquen reinicios y denegaciones de servicio en los productos afectados.
La falla se debe a que la función afectada procesa de forma incorrecta ciertos paquetes IKEv2 lo que ocasiona errores en el procesamiento de la memoria. Estás vulnerabilidades están clasificadas como altas como una puntuación de 8.6.
CVE-2025-20263
Es una vulnerabilidad de desbordamiento de búfer (buffer overflow) en la interfaz de servicios web de los dispositivos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD). Esta falla se debe a una insuficiente validación de límites en los datos proporcionados a la interfaz de servicios web del sistema afectado. Un atacante remoto no autenticado puede explotar esta vulnerabilidad enviando una solicitud HTTP especialmente diseñada al sistema afectado.
Una explotación exitosa podría permitir al atacante causar una condición de desbordamiento de búfer en el sistema afectado, lo que podría provocar reinicios, resultando en una condición de denegación de servicio. Al CVE se le asigno una puntuación de CVSS de 8.6.
CVE-2025-20127
Es una vulnerabilidad de denegación de servicio que afecta a los dispositivos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD) en las series Firepower 3100 y 4200. Esta falla es originada por una implementación incorrecta del cifrado TLS 1.3 con el algoritmo TLS_CHACHA20_POLY1305_SHA256.
Un atacante remoto autenticado puede explotar esta vulnerabilidad enviando múltiples conexiones TLS 1.3 utilizando este cifrado específico, lo que agotara los recursos del sistema, provocando que el dispositivo deje de aceptar conexiones SSL/TLS y en consecuencia se reiniciaran los productos afectados. Este CVE se le asigno una puntuación CVSS de 7.7.
Versiones Afectadas
CVE-2025-20265
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Management Center |
7.0.7 y 7.7.0 |
CVE-2025-20217
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Threat Defense (FTD) |
7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.1, 7.2.2, 7.3.0, 7.3.1 y 7.3.2 |
CVE-2025-20222
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con RADIUS proxy habilitado para IPsec VPN y procesamiento de IPv6 |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con RADIUS proxy habilitado para IPsec VPN y procesamiento de IPv6 |
CVE-2025-20148
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Management Center (FMC) |
Todas las versiones actuales de FMC |
CVE-2025-20244
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con servicio VPN SSL habilitado |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con servicio VPN SSL habilitado |
CVE-2025-20133 y CVE-2025-20243
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con servicio VPN SSL habilitado |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con servicio VPN SSL habilitado |
CVE-2025-20134
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
9.8.4.40, 9.12.4.26, 9.14.3.9 y 9.15.1.17 |
|
Cisco Secure Firewall Threat Defense (FTD) |
6.2.3.17, 6.4.0.13, 6.6.5 y 6.7.0.3 |
CVE-2025-20136
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con NAT44, NAT64 o NAT46 y DNS inspection habilitado |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con NAT44, NAT64 o NAT46 y DNS inspection habilitado |
CVE-2025-20251
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con servicio VPN SSL habilitado |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con servicio VPN SSL habilitado |
CVE-2025-20225, CVE-2025-20239, CVE-2025-20253
|
Producto afectado |
Versión afectada |
|
Cisco IOS |
Versiones con la función VPN IKEv2 habilitada |
|
Cisco IOS XE |
Versiones con la función VPN IKEv2 habilitada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con la función VPN IKEv2 habilitada |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con la función VPN IKEv2 habilitada |
CVE-2025-20224, CVE-2025-20252, CVE-2025-20254
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con la función VPN IKEv2 habilitada |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con la función VPN IKEv2 habilitada |
CVE-2025-20263
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Versiones con configuraciones http server enable, http y rest-api image disk0:/rest-api agent |
|
Cisco Secure Firewall Threat Defense (FTD) |
Versiones con configuraciones http server enable y http |
CVE-2025-20127
|
Producto afectado |
Versión afectada |
|
Cisco Secure Firewall Adaptive Security Appliance (ASA) |
Dispositivo serie 3100 o 4200 con socket de escucha SSL y configurado para permitir TLS 1.3 con el cifrado TLS_CHACHA20_POLY1305_SHA256 |
|
Cisco Secure Firewall Threat Defense (FTD) |
Dispositivo serie 3100 o 4200 con socket de escucha SSL y configurado para permitir TLS 1.3 con el cifrado TLS_CHACHA20_POLY1305_SHA256 |
Recomendaciones
-
Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo a la tabla de versiones afectadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Security advisories. (2025, Agosto 15). Cisco. Recuperado el 15 de agosto de 2025, en:https://sec.cloudapps.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities
