Flaw de seguridad crítica CVE-2025-20217 permite a los atacantes no autenticados activar condiciones de denegación de servicio en los sistemas de firewall ampliamente implementados de Cisco
Cisco ha revelado una vulnerabilidad de alta severidad en su software seguro de defensa de amenazas de firewall (FTD) que podría permitir a los atacantes remotos causar condiciones de denegación de servicio a través del motor de detección Snort 3.
La vulnerabilidad, rastreada como CVE-2025-20217 con un puntaje CVSS de 8.6, se publicó el 14 de agosto de 2025, como parte del paquete de asesoramiento de seguridad semestral de Cisco.
La falla existe en la funcionalidad de inspección de paquetes del motor de detección Snort 3, un componente central responsable de analizar y filtrar el tráfico de red para las amenazas.
La vulnerabilidad proviene del procesamiento incorrecto del tráfico durante la inspección de paquetes, creando una debilidad crítica en dispositivos que ejecutan versiones vulnerables del software Cisco Secure FTD con Snort 3 habilitado.
Según el aviso de Cisco, un atacante remoto no autenticado puede explotar esta vulnerabilidad enviando el tráfico elaborado a través del dispositivo afectado.
El manejo inadecuado de estos paquetes especialmente elaborados hace que el dispositivo afectado ingrese a un bucle infinito mientras inspecciona el tráfico, lo que resulta en una condición de denegación de servicio.
La vulnerabilidad se clasifica en CWE-835 (bucle con condición de salida inalcanzable), lo que indica una falla fundamental en la lógica del motor de detección.
Vulnerabilidad al motor de detección de Snort 3
Cuando se explota con éxito, la vulnerabilidad hace que el proceso de Snort quede atrapado en un bucle infinito, deteniendo efectivamente toda la inspección del tráfico hasta que el perro guardián del sistema detecte el problema y reinicie automáticamente el proceso de Snort. Esto crea una brecha de seguridad temporal pero significativa durante la cual el tráfico malicioso podría pasar por no detectado.
El ataque no requiere autenticación y se puede ejecutar de forma remota, por lo que es particularmente peligroso para los dispositivos Cisco FTD orientados a Internet. Si bien el Kingdog del sistema proporciona una recuperación automática al reiniciar el proceso de Snort, la pérdida temporal de capacidades de inspección podría ser explotada por atacantes sofisticados para lanzar ataques coordinados.
La vulnerabilidad impacta a los dispositivos Cisco que ejecutan lanzamientos vulnerables del software Cisco Secure FTD con una política de intrusión habilitada que tiene el motor Snort 3 en funcionamiento. Las organizaciones deben verificar que Snort 3 se ejecuta activamente en sus sistemas, ya que la vulnerabilidad no puede explotarse si Snort 3 no está activo.
Cisco ha confirmado Que varios productos no se ven afectados por esta vulnerabilidad, incluido el software Cisco Secure Firewall Adaptive Security Appliance (ASA), el software Cisco Secure Firewall Management Center (FMC) y el software Snort 2 y Snort 3 de código abierto.
A diferencia de muchas vulnerabilidades de seguridad, Cisco ha declarado explícitamente que no hay soluciones disponibles para abordar este problema. Esto deja a las organizaciones con una sola opción: aplicar las actualizaciones de software publicadas por Cisco. La compañía ha publicado actualizaciones de software gratuitas que abordan completamente la vulnerabilidad.
Esta vulnerabilidad se suma a una lista creciente de problemas de seguridad que afectan el firewall y los productos VPN de Cisco. Los últimos meses han visto múltiples fallas de alta severidad divulgadas, incluidas CVE-2025-20265 (CVSS 10.0) que afectan el Centro de Gestión Secure de Firewall y varias otras vulnerabilidades de denegación de servicio en productos ASA y FTD.
Los investigadores de seguridad han señalado que Cisco tiene un historial de vulnerabilidades en su motor de detección de Snort y la línea de productos FTD, incluidas múltiples vulnerabilidades de denegación de servicio relacionadas con la inspección de paquetes y el manejo del tráfico.
Si bien Cisco generalmente responde con avisos y parches rápidos, la naturaleza recurrente de estos problemas subraya la importancia de la gestión oportuna de parches para las organizaciones que dependen de los productos de seguridad de Cisco.
A la fecha de publicación, el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIT) informó que no tiene conocimiento de ningún anuncio público o uso malicioso de la vulnerabilidad.
La vulnerabilidad se descubrió durante la resolución de un caso de apoyo del Centro de Asistencia Técnica de Cisco (TAC) en lugar de a través de la inteligencia de amenazas externas.
Dada la naturaleza remota y no autenticada del vector de ataque y el papel crítico que juegan los dispositivos Cisco FTD en la seguridad de las redes empresariales, los expertos en seguridad aconsejan a las organizaciones que prioricen los esfuerzos de parcheo.
La pérdida temporal de las capacidades de inspección de tráfico durante la explotación podría proporcionar a los atacantes ventanas de oportunidad para infiltrarse en redes o exfiltrar datos sin ser detectados.
Se recomienda encarecidamente a las organizaciones que utilizan el software de defensa de amenaza de firewall de Cisco Secure que evalúen inmediatamente su exposición utilizando la herramienta de verificación de software de Cisco y aplique las actualizaciones de seguridad disponibles para evitar la explotación potencial de esta vulnerabilidad crítica.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
