Cisco ha confirmado que una vulnerabilidad de XSS de hace una década en su software Adaptive Security Appliance (ASA) se está explotando activamente en la actualidad.
La vulnerabilidad, identificada como CVE-2014-2120, afecta a la página de inicio de sesión de WebVPN y podría permitir que atacantes remotos no autenticados realicen ataques XSS contra los usuarios del servicio WebVPN.
Originalmente divulgada en marzo de 2014, la vulnerabilidad se origina en una validación de entrada insuficiente de un parámetro en la página de inicio de sesión de WebVPN. Los atacantes podrían explotar esta falla persuadiendo a los usuarios para que accedan a un enlace malicioso, lo que podría llevar a la ejecución de una secuencia de comandos web o HTML arbitrario en el contexto de la interfaz afectada.
El Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) se enteró de nuevos intentos de explotación en noviembre de 2024, lo que provocó una actualización de aviso urgente. Su estado de explotación activa eleva significativamente el riesgo para las organizaciones que utilizan versiones de software Cisco ASA afectadas.
Este desarrollo destaca la amenaza persistente que plantean las vulnerabilidades antiguas sin parches, incluso años después de su descubrimiento inicial.
Cisco ha recomendado encarecidamente que los clientes actualicen a una versión de software corregida para mitigar esta vulnerabilidad. La empresa enfatizó que no hay soluciones alternativas disponibles para abordar el problema, por lo que la aplicación de parches es la única solución eficaz.
Este resurgimiento de la explotación de CVE-2014-2120 es parte de una tendencia más amplia observada por los investigadores de seguridad. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó recientemente esta vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que indica su uso en campañas de ataque activas.
La explotación de CVE-2014-2120 se ha vinculado a los operadores del malware/botnet "AndroxGh0st", que han incorporado esta antigua vulnerabilidad a su arsenal como parte de una expansión estratégica de su superficie de ataque.
Este evento de seguridad subraya la necesidad de una vigilancia continua tanto contra las vulnerabilidades nuevas como las que resurgen en los componentes críticos de la infraestructura de red.
Fuente: Cybersecuritynews