Una vulnerabilidad en el servidor web de administración del software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto autenticado con altos privilegios ejecute comandos de configuración en un sistema afectado.
Torre del Mar 25 de diciembre de 2022
CVE-2022-20949
Esta vulnerabilidad existe porque el acceso a los puntos finales de HTTPS no está debidamente restringido en un dispositivo afectado.
Un atacante podría aprovechar esta vulnerabilidad enviando mensajes específicos al controlador HTTPS afectado.
Una explotación exitosa podría permitir que el atacante realice realice cambios de configuración en el sistema afectado, que debe configurarse y administrarse solo a través del software Cisco Firepower Management Center (FMC).
Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
Productos vulnerables
En el momento de la publicación, esta vulnerabilidad afectaba a los productos de Cisco si ejecutaban una versión vulnerable del software FTD de Cisco administrado por el software FMC de Cisco y tenían habilitado el acceso HTTPS.
Este aviso es parte de la publicación de noviembre de 2022 de la publicación Paquete de avisos de seguridad de Cisco ASA, FTD y FMC. Para obtener una lista completa de los avisos y enlaces a ellos, consulte Respuesta a eventos de Cisco:
Cisco Event Response: November 2022 Semiannual Cisco ASA, FMC, and FTD Software Security Advisory Bundled Publication.
Determinar la configuración de acceso de administración de HTTPS
Para identificar el estado y el puerto del acceso de administración HTTPS, utilice el comando de la CLI http show running-config. El siguiente ejemplo muestra el resultado del comando show running-config http en un dispositivo que tiene habilitado el acceso de administración HTTPS en las interfaces internas y externas mediante el puerto TCP 8443:
firepower# show running-config http
http server enable 8443
http 0.0.0.0 0.0.0.0 inside
http 0.0.0.0 0.0.0.0 outside
Si la línea que comienza con la habilitación del servidor http no incluye un puerto, se utiliza el puerto predeterminado 443. El valor exacto del puerto no afecta el estado de vulnerabilidad del dispositivo.
Si falta la línea que comienza con la habilitación del servidor http o la salida no incluye una lista de control de acceso (ACL) HTTP asociada con una interfaz, el acceso de administración HTTPS está deshabilitado.
El valor exacto de la ACL HTTP no afecta el estado de vulnerabilidad del dispositivo. Sin embargo, para una explotación exitosa, el atacante debe poder conectarse al servidor de administración HTTPS del dispositivo desde una dirección IP permitida por HTTP ACL.
Al considerar las actualizaciones de software, se recomienda a los clientes que consulten regularmente los avisos de los productos de Cisco, que están disponibles en la página de Avisos de seguridad de Cisco, para determinar la exposición y una solución de actualización completa.
Este aviso está disponible en el siguiente enlace:
Fuente de la Vulnerabilidad
Cisco Avierte sobre antiguas vulnerabilidades que estan siendo explotadas CVE-2017-12240 CVE-2018-0125 CVE-2018-0147 CVE-2018-0171 CVE-2021-1497
