Laburpen exekutiboa
Ahultasun larri bat (CVSS puntuazioa 8.6) identifikatu da Cisco AnyConnect VPN zerbitzarian, Cisco Meraki MX eta Cisco Meraki Z Series Teleworker Gateway gailuetan. Ahultasun hau, aldagaien hasierako erroreak sortzen dituenean VPN SSL konexio bat ezartzen denean, eta atakatzaile urrun batek erabili ahal luke zerbitzu ukapen egoera bat (DoS) sortzeko. Atake honen potentzialak VPN zerbitzariaren berrabiaraztea behartu dezake, VPN SSL saio guztiak eteteko eta erabiltzaile urrunek saioa eta autentifikazioa berriro hasi behar izateko. Atakea iraunkorra balitz, VPN SSL konexio berriak sortzea ekidin dezake, VPN Cisco AnyConnect zerbitzua erabiltzaileentzat eskuragarri ez uzteko. Bere larritasunagatik, arintze azkarra gomendatzen da.
Eragindako baliabideak
- Cisco Meraki MX (Firmware releases 16.2 eta ondorengoak)
- Cisco Meraki MX64 (Soilik 17.6 eta ondorengo firmware Cisco Meraki MX bertsioak exekutatzen badira)
- Cisco Meraki MX65 (Soilik 17.6 eta ondorengo firmware Cisco Meraki MX bertsioak exekutatzen badira)
- Cisco Meraki MX67
- Cisco Meraki MX67C
- Cisco Meraki MX67W
- Cisco Meraki MX68
- Cisco Meraki MX68CW
- Cisco Meraki MX68W
- Cisco Meraki MX75
- Cisco Meraki MX84
- Cisco Meraki MX85
- Cisco Meraki MX95
- Cisco Meraki MX100
- Cisco Meraki MX105
- Cisco Meraki MX250
- Cisco Meraki MX400 (Soilik 16.16.9 eta aurreko firmware bertsioak onartzen ditu)
- Cisco Meraki MX450
- Cisco Meraki MX600 (Soilik 16.16.9 eta aurreko firmware bertsioak onartzen ditu)
- Cisco Meraki vMX
- Cisco Meraki Z Series Teleworker Gateway devices (ez dira aipatu bertsio zehatzak)
- Cisco Meraki Z3
- Cisco Meraki Z3C
- Cisco Meraki Z4
- Cisco Meraki Z4C
- Cisco AnyConnect VPN zerbitzaria (aurreko gailuetan)
Azterketa teknikoa
- CVE-2025-20271: Ahultasun bat Cisco AnyConnect VPN zerbitzariaren Cisco Meraki MX eta Cisco Meraki Z Series Teleworker Gateway gailuetan atakatzaile urrun batek zerbitzu ukapen egoera bat (DoS) sortu dezakeela ahalbidetuko luke. Ahultasun hau VPN SSL saio bat ezartzen denean aldagaien hasierako erroreak direla-eta gertatzen da. Atakatzaileak ahultasun hau aprobetxatu dezake HTTPS eskakizun manipulatu batzuk bidaliz gailu eragindako batera. Aprobetxatze arrakastatsua VPN Cisco AnyConnect zerbitzaria berrabiaraztea ahalbidetuko luke, honek VPN SSL saio guztiak huts egitea eragin dezake eta erabiltzaile urrunek VPN konexio berria hasi eta berriro autentifikatu behar izatea behartuko luke. Atake iraunkorra VPN SSL konexio berriak ezartzea ekidin dezake, VPN Cisco AnyConnect zerbitzua erabiltzaile legezko guztientzat eskuragarri ez egotea eragin dezake.
- CWE-457
- CVSS: 8.6 (handia)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Aprobetxatzea: Ez da antzeman
Arintzea/Konponbidea
Cisco-k segurtasun ahultasun hau konpontzeko software eguneraketak argitaratu ditu Cisco Meraki MX eta Z serieetan zerbitzu ukapen arazoa arintzeko. Produktu eragindakoak Cisco Meraki-ren firmware bertsio seguru batera eguneratu behar dira arazoa konpontzeko. Azpimarratu behar da ez dagoela alternatiba soluziorik ahultasun hau konpontzeko. Bezeroek soilik instalatu eta laguntza itxaron dezakete software bertsioetarako eta ezaugarri multzoetarako zeinetarako lizentzia erosi duten. Software eguneraketak instalatzen, jaisten, erabiltzen edo bestelako modu batean erabiltzen dituztenean, bezeroek onartzen dute Cisco-ren Erabiltzaile Amaierako Lizentzia Hitzarmenaren eta Produktu Zehatzeko Baldintzen arabera jokatzea. Ziurtatu eguneratuko diren gailuek nahikoa memoria dutela eta egungo hardware eta software konfigurazioak bertsio berriarekin egoki bateragarriak izango direla.