ISGroup Consultoría de Ciberseguridad

CVE-2025-20362: Vulnerabilidad de autorización ausente en los servicios web VPN de Cisco ASA/FTD

CVE-2025-20362 afecta a los dispositivos Cisco Adaptive Security Appliance (ASA) Software y Firepower Threat Defense (FTD) Software que tienen habilitados los servicios de servidor web VPN (WebVPN). La vulnerabilidad reside en el componente de servicios web VPN y es causada por la falta de controles de autorización. Al enviar solicitudes HTTP(S) especialmente diseñadas, un atacante remoto y no autenticado puede acceder a puntos finales (endpoints) de URL reservados que normalmente deberían requerir autenticación. Este defecto ha sido explotado activamente en campañas dirigidas contra dispositivos perimetrales de Cisco y ha sido añadido al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA bajo la Directiva de Emergencia ED 25-03, que exige a las agencias federales estadounidenses identificar y mitigar los sistemas afectados.

ProductoCisco ASA
Fecha2025-09-29 13:09:26
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

Esta es una vulnerabilidad de falta de autorización (CWE-862) con una puntuación base CVSS v3.1 de 6.5 (Media). El defecto permite a un atacante remoto no autenticado omitir los controles de autorización en dispositivos Cisco ASA/FTD con servicios web VPN habilitados.

Si se explota, los atacantes pueden obtener acceso no autorizado a puntos finales o funcionalidades sensibles, proporcionando un punto de entrada para ataques adicionales, como la divulgación de información o la explotación de vulnerabilidades adicionales para un compromiso más profundo.

Según Cisco y varios informes de investigación de seguridad, esta vulnerabilidad ha sido explotada activamente en entornos reales como parte de campañas de amenazas avanzadas (notoriamente vinculadas a UAT4356 / Storm-1849) contra dispositivos Cisco ASA y FTD. Los atacantes combinan esta falla con otras vulnerabilidades de día cero (ej. CVE-2025-20333) para obtener acceso persistente y oculto.

Recomendaciones

  1. Se requiere parche inmediato: Realice la actualización a las versiones del software Cisco ASA/FTD que contienen la corrección para CVE-2025-20362 lo antes posible. Cisco ha lanzado actualizaciones correctivas para todas las ramas afectadas.

  2. Limitar la exposición: Deshabilite o limite el acceso a los componentes VPN Web Services / WebVPN desde redes no confiables si la corrección no es aplicable de inmediato.

  3. Segmentación de red y controles de acceso: Implemente una segmentación de red rigurosa, revise las políticas de acceso a las interfaces de gestión y limite la exposición de las consolas de administración a las redes internas.

  4. Monitoreo y búsqueda de amenazas: Monitoree activamente los registros del servidor web VPN y el tráfico de red para detectar intentos de acceso sospechosos o no autorizados. Siga las directrices de Cisco y CISA para identificar posibles compromisos.

  5. Preparación para la respuesta a incidentes: Si se sospecha de un compromiso, realice un análisis forense en el dispositivo, rote las credenciales y siga los pasos de remediación publicados por Cisco para dispositivos ASA/FTD comprometidos.

[Callforaction-THREAT-Footer]

In