Cisco har offentliggjort AnyConnect VPN nul-dags sårbarhed

Udnyttelse af kode tilgængelig.

Cisco har offentliggjort en nul-dages sårbarhed i Ciscos AnyConnect Secure Mobility Client software, hvortil der findes en offentligt tilgængelig proof-of-concept udnyttelseskode. Det skriver Bleeping Computer.

Der findes ikke sikkerhedsopdateringer tilgængelige for denne sårbarhed endnu. Sikkerhedsfejlen er dog ifølge Cisco Product Security Incident Response Team (PSIRT) endnu ikke set udnyttet.

Enheder med standardkonfigurationer er ikke sårbare

Sårbarheden med nummeret CVE-2020-3556 findes i interproces-kommunikationskanalen (IPC) i Cisco AnyConnect Clienten, og den ville kunne tillade godkendte og lokale hackere at udføre ondsindede scripts via en målrettet bruger.

Det påvirker alle AnyConnect klientversioner til Windows, Linux og macOS med sårbare konfigurationer. Mobile iOS- og Android-klienter påvirkes ikke af denne sårbarhed.

Cisco forklarer, at en sårbar konfiguration kræver, at både indstillingen ”Auto Update” og ”Enable Scripting” er aktiveret. Automatisk opdatering er som standard aktiveret, og Enable Scripting er som standard deaktiveret. Vellykket udnyttelse kræver også aktive AnyConnect sessioner og gyldige legitimationsoplysninger på den målrettede enhed.

Afbødning til rådighed

Selvom der ikke er nogen løsning tilgængelig endnu, kan det afhjælpes ved at deaktivere funktionen Auto Update. Angrebsoverfladen kan også reduceres drastisk ved at skifte konfigurationsindstillingen på Enable Scripting på enheder, hvor den er aktiveret. Sårbarheden blev rapporteret til Cisco af Gerbert Roitburd fra Secure Mobile Networking Lab (TU Darmstadt).

Cisco har også rettet 11 andre sikkerhedsproblemer med høj prioritet og 23 med mellem prioritet i flere produkter, der kan føre til denial-of-service eller afvikling af vilkårlig kode på sårbare enheder.

Links:

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/