Cisco ha emitido una advertencia urgente sobre la reactivación de ataques que explotan una vulnerabilidad de cross-site scripting (XSS) descubierta hace una década en su software Adaptive Security Appliance (ASA). La vulnerabilidad, catalogada como CVE-2014-2120, afecta a la página de inicio de sesión de WebVPN y pone en riesgo a usuarios de este servicio al permitir que atacantes remotos no autenticados ejecuten scripts maliciosos.
Un problema conocido que resurge
La vulnerabilidad, inicialmente divulgada en marzo de 2014, se originó por una validación insuficiente de un parámetro en la entrada de datos de la página de inicio de WebVPN. Esto permite a los atacantes persuadir a las víctimas para que hagan clic en enlaces maliciosos, lo que puede llevar a la ejecución de código arbitrario en el navegador de la víctima.
Aunque el problema fue identificado hace diez años, el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) detectó intentos recientes de explotación en noviembre de 2024. Esto ha llevado a la actualización de su aviso de seguridad, subrayando la urgencia de mitigar esta vulnerabilidad debido a su uso activo en campañas de ataque actuales.
Sin soluciones alternativas: la actualización es imprescindible
Cisco ha reiterado que no existen soluciones alternativas para esta vulnerabilidad, lo que hace que la actualización del software sea la única medida efectiva para protegerse. La compañía insta encarecidamente a los clientes a implementar versiones de software corregidas disponibles a través de los canales de soporte habituales.
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido la vulnerabilidad CVE-2014-2120 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que resalta su impacto en campañas de ataque activas.
Enlace con campañas de malware actuales
Investigadores han vinculado la explotación de esta vulnerabilidad con los operadores del malware y botnet conocido como AndroxGh0st. Este grupo ha incorporado CVE-2014-2120 a su arsenal de ataques como parte de una estrategia para expandir su superficie de ataque. Esto resalta cómo las vulnerabilidades antiguas, aunque pasen años desde su descubrimiento inicial, siguen siendo un objetivo atractivo para los ciberdelincuentes.
Impacto y soluciones propuestas
La explotación de esta vulnerabilidad no solo compromete la seguridad de las redes, sino que también subraya la importancia de mantener actualizadas las infraestructuras críticas. Cisco ha señalado que el uso de parches es una medida esencial para proteger tanto a las empresas como a los usuarios finales. Además, ha puesto a disposición recursos para guiar a los clientes en la implementación de las actualizaciones necesarias.
La vulnerabilidad CVE-2014-2120 tiene un puntaje CVSS base de 4,3, lo que la clasifica como de riesgo moderado. Sin embargo, su estado de explotación activa eleva significativamente el peligro, especialmente para organizaciones que no han aplicado parches desde su divulgación inicial.
Lecciones aprendidas
Este incidente destaca la importancia de la gestión proactiva de vulnerabilidades y la necesidad de monitorear continuamente la seguridad de los sistemas. Las organizaciones deben priorizar la actualización de sus sistemas, incluso en el caso de vulnerabilidades antiguas, para evitar convertirse en objetivos fáciles de ataques.
Cisco continúa colaborando con socios y clientes para garantizar la seguridad de sus productos y servicios, mientras refuerza su compromiso de proporcionar actualizaciones oportunas y recursos de mitigación para sus usuarios.
Para obtener más información sobre la vulnerabilidad CVE-2014-2120 y las medidas de mitigación recomendadas, los clientes pueden visitar el Centro de Seguridad de Cisco.
