Resumen ejecutivo
Se ha identificado una vulnerabilidad crítica (puntuación CVSS 8.6) en el servidor VPN Cisco AnyConnect, presente en dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway. Dicha vulnerabilidad, provocada por errores de inicialización de variables al establecer una conexión VPN SSL, podría ser explotada por un atacante remoto no autenticado para desencadenar una condición de denegación de servicio (DoS). Este potencial ataque podría forzar el reinicio del servidor VPN, causando la interrupción de todas las sesiones VPN SSL y necesitando un nuevo inicio de sesión y autenticación por parte de los usuarios remotos. Si el ataque es sostenido, podría prevenir la creación de nuevas conexiones VPN SSL, dejando al servicio VPN Cisco AnyConnect no disponible para los usuarios. Dada su gravedad, se recomienda una mitigación rápida.
Recursos afectados
- Cisco Meraki MX (Firmware releases 16.2 y posterior)
- Cisco Meraki MX64 (Solo si se están ejecutando las versiones 17.6 y posteriores del firmware Cisco Meraki MX)
- Cisco Meraki MX65 (Solo si se están ejecutando las versiones 17.6 y posteriores del firmware Cisco Meraki MX)
- Cisco Meraki MX67
- Cisco Meraki MX67C
- Cisco Meraki MX67W
- Cisco Meraki MX68
- Cisco Meraki MX68CW
- Cisco Meraki MX68W
- Cisco Meraki MX75
- Cisco Meraki MX84
- Cisco Meraki MX85
- Cisco Meraki MX95
- Cisco Meraki MX100
- Cisco Meraki MX105
- Cisco Meraki MX250
- Cisco Meraki MX400 (Solo versiones del firmware 16.16.9 y anteriores)
- Cisco Meraki MX450
- Cisco Meraki MX600 (Solo versiones del firmware 16.16.9 y anteriores)
- Cisco Meraki vMX
- Cisco Meraki Z Series Teleworker Gateway devices (versiones específicas no mencionadas)
- Cisco Meraki Z3
- Cisco Meraki Z3C
- Cisco Meraki Z4
- Cisco Meraki Z4C
- Cisco AnyConnect VPN server (en los dispositivos mencionados anteriormente)
Análisis técnico
- CVE-2025-20271: Una vulnerabilidad en el servidor VPN Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio (DoS) en el servicio Cisco AnyConnect en un dispositivo afectado. Esta vulnerabilidad se debe a errores de inicialización de variables cuando se establece una sesión de VPN SSL. Un atacante podría explotar esta vulnerabilidad enviando una secuencia de solicitudes HTTPS manipuladas a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el servidor VPN Cisco AnyConnect se reinicie, lo que resultaría en la falla de todas las sesiones de VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría impedir que se establezcan nuevas conexiones de VPN SSL, haciendo efectivamente que el servicio VPN Cisco AnyConnect no esté disponible para todos los usuarios legítimos.
- CWE-457
- CVSS: 8.6 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
Mitigación / Solución
Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad de seguridad en las series Cisco Meraki MX y Z para mitigar el problema de la denegación de servicio. Los productos afectados deben ser actualizados a una versión segura del firmware de Cisco Meraki para resolver el problema. Es importante aclarar que no hay soluciones alternativas disponibles para abordar esta vulnerabilidad. Los clientes solo pueden instalar y esperar soporte para las versiones de software y los conjuntos de características para los que han comprado una licencia. Al instalar, descargar, acceder o utilizar de alguna otra manera dichas actualizaciones de software, los clientes aceptan seguir los términos del Contrato de Licencia de Usuario Final de Cisco y los Términos Específicos del Producto aplicables. Asegúrese de que los dispositivos a actualizar tengan suficiente memoria y confirme que las configuraciones actuales de hardware y software seguirán siendo compatibles adecuadamente con la nueva versión.