HiveProtect.ai » Español » blog » Amenazas de Cisco ASA

Análisis técnico: Amenazas de la pasarela Cisco ASA y vectores de ataque WebVPN

Amenazas de Cisco ASA

Resumen ejecutivo

La presencia de registros que mencionan rutas como /+CSCOL+/ o /+CSCOE+/ seguidas de archivos como a1.jar o transfer.js indica actividad dirigida específicamente a las pasarelas Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD).

Estos indicadores no son errores aleatorios, sino que señalan dos vectores distintos:

  • Explotación de vulnerabilidades conocidas de WebVPN (como CVE-2020-3452) que buscan leer archivos sensibles mediante recorridos de directorios.
  • La ejecución de código o el envenenamiento de caché intenta inyectar cargas útiles maliciosas (scripts JS o applets Java) para comprometer sesiones remotas de usuario.

El artículo siguiente detalla la mecánica de estos ataques, su importancia técnica y las estrategias de defensa necesarias.

La anatomía de un ataque a una pasarela VPN

Los equipos de seguridad perimetral, especialmente los concentradores VPN como los Cisco ASA, son objetivos principales. Se exponen públicamente por necesidad y gestionan sesiones autenticadas críticas. Entender los logs requiere comprender la arquitectura virtual de estas cajas.

Decodificación de caminos « virtuales »

En un dispositivo Cisco ASA configurado con capacidades de Client less SSL VPN ( WebVPN ) o AnyConnect, el sistema expone directorios virtuales que no existen físicamente en un disco duro típico, pero que están mapeados por el firmware:

  • /+CSCOE+/ (Cisco Secure Encrypted): Esta ruta se utiliza para servir los recursos estáticos del portal de autenticación (logotipos, scripts de inicio de sesión logon.html win.js scripts de detección). Esta es la zona « pública » antes de la autenticación completa.
  • /+CSCOL+/ (Cisco Secure Legacy/Launch): A menudo asociado con componentes heredados o lanzamientos de applets Java para túneles VPN sin cliente.

Cuando ves estos prefijos en tus registros, el atacante no adivina una URL; sabe que estás usando equipo Cisco e intenta interactuar con los mecanismos internos del portal.

Vector 1: artefacto de Java (a1.jar) y herencia sin cliente

La solicitud /+CSCOL+/a1.jar es sintomática de ataques dirigidos a tecnologías Java Web Start o applets Java obsoletos usados por versiones anteriores de WebVPN.

El mecanismo

Históricamente, para establecer un túnel VPN sin instalar un cliente grueso (AnyConnect), el portal WebVPN cargaba un applet Java (a menudo denominado cs.jar o similar) en el navegador del usuario.

  • Reconocimiento y confusión: El atacante busca descargar este archivo .jar para hacer ingeniería inversa y averiguar la versión exacta del firmware ASA.
  • Carga útil maliciosa (a1.jar): En un escenario ofensivo, a1.jar no es un archivo legítimo de Cisco. Este suele ser el nombre predeterminado de un « dropper » generado por kits de exploits de Java. El atacante intenta forzar que el navegador o el plugin Java de la víctima (si visita una página comprometida retransmitida por la VPN) ejecute este código.
  • El objetivo: Ejecuta código arbitrario (RCE) en el cliente a través del túnel VPN, o en el servidor si existe una vulnerabilidad de deserialización de Java en el lado de la puerta de enlace.

Diagnóstico: Si este archivo se solicita a tu servidor, a menudo es un escáner automatizado que prueba si tu gateway permite descargar o ejecutar código Java sin firmar o vulnerable.

Vector 2: transfer.js y ataques de desincronización impulsados por navegador

La presencia de /+CSCOE+/transfer.js es más sutil y potencialmente más peligrosa porque afecta a ataques modernos como el contrabando de solicitudes HTTP y el envenenamiento por caché.

El contexto: vulnerabilidad win.js

Investigadores de seguridad (incluido PortSwigger) han demostrado que los portales WebVPN de Cisco pueden manipularse mediante archivos JavaScript estáticos como /+CSCOE+/win.js.

El escenario de ataque transfer.js

La llamada a un archivo llamado transfer.js bajo este directorio sugiere un intento de explotar la lógica de reescritura de URLs de WebVPN:

  • Envenenamiento por alvéolo: El atacante envía una solicitud HTTP mal formada (contrabando de solicitudes) al gateway.
  • Desincronización: La puerta de enlace « mezcla » la petición del atacante con la de la siguiente víctima.
  • Redirección maliciosa: Cuando la víctima legítima se conecta a la VPN, su navegador pide un script (por ejemplo, win.js o un script personalizado inyectado llamado transfer.js). Debido a la desincronización, la pasarela no devuelve el script legítimo de Cisco, sino una redirección a un servidor controlado por el atacante.
  • Duración de XSS: El navegador de la víctima ejecuta el script malicioso en el contexto de seguridad del dominio VPN (vpn.votre-entreprise.com). El atacante puede entonces robar las cookies de sesión (webvpn cookie) y penetrar en la red.

Vulnerabilidades relacionadas (CVE)

Estos registros suelen ser rastros de escáneres que buscan explotar fallos específicos:

CVE-2020-3452 (recorrido de ruta de solo lectura)

Esta es la falla de reina asociada a estos caminos. Permite que un atacante no autenticado lea archivos en el sistema de archivos WebVPN usando secuencias como +CSCOT+ o +CSCOE+.

  • Ejemplo de consulta: GET /+CSCOE+/+/.. /+/.. /+/.. /+CSCOE+/portal_inc.lua
  • Riesgo: Fuga de configuración, robo de cookies de sesión de otros usuarios conectados.

CVE-2018-0296 (DoS y divulgación de información)

Permite bloquear el ASA o listar usuarios conectados manipulando las rutas /+CSCOE+/.

Impacto estratégico y operativo

Si estos ataques tienen éxito, las consecuencias van más allá de la simple vandalización de sitios web:

  • Compromiso del perímetro: El ASA es la puerta de entrada a la red. Un robo de sesión permite al atacante saltarse MFA (ya que la cookie de sesión ya está validada) y acceder a recursos internos.
  • Robo de propiedad intelectual: Mediante CVE-2020-3452, se pueden exfiltrar archivos de configuración que contienen información sobre la arquitectura interna.
  • Ataques en el lado del cliente (en el bar de agua): Al modificar el JS que ofrece la VPN, el atacante infecta las estaciones de trabajo de todos los empleados que se conectan al teletrabajo.

Guía de Remediación y Defensa

Para protegerse contra estas amenazas, se necesita un enfoque profundo.

1. Endurecimiento de la configuración ASA

  • Actualización inmediata: Aplica los últimos parches de Cisco. Los fallos CVE-2020-3452 y CVE-2018-0296 se han parcheado durante mucho tiempo.
  • Desactivar la VPN sin cliente: Si solo usas el cliente grueso AnyConnect, desactiva completamente el portal « Client SSL VPN », que es la principal superficie de ataque de estos vectores. Comando: no webvpn (o desactivarlo por perfil de grupo).

2. Filtrado y WAF

  • Bloqueo de artefactos sospechosos: Configura tu Cortafuegos de Aplicaciones Web ( WAF ) o IPS para bloquear estrictamente cualquier solicitud que contenga .jar si no tienes una necesidad explícita de negocio Java en el portal.
  • Normas de desinfección: Secuencias de recorrido de directorios de bloques (.., %2nd%2e, +/) en URLs dirigidas a /+CSCOE+ y /+CSCOL+.

3. Vigilancia (caza de amenazas)

  • Análisis de registros: Busca los códigos HTTP 200 OK asociados a estas solicitudes extrañas.
  • 404 No encontrado: Una buena señal, el striker escanea el vacío.
  • 200 OK en a1.jar o transfer.js: Alerta crítica, investiga el contenido servido inmediatamente.
  • Correlación: Comprueba si una IP que escaneó estos archivos inició una conexión VPN exitosa (inicio de sesión exitoso).

Conclusión

Las solicitudes a /+CSCOL+/a1.jar y /+CSCOE+/transfer.js son firmas de un reconocimiento hostil que busca convertir tu puerta de seguridad en un punto de vulnerabilidad. Ya sean escáneres automáticos (« script kiddies ») o precursores de un sofisticado ataque de contrabando de solicitudes, requieren vigilancia constante y una rigurosa política de actualización del equipo perimetral.