Cisco har rettet en seks måneder gammel 0-dagssårbarhed

Af Eskil Sørensen, 17/05/21

Cisco har rettet en seks måneder gammel 0-dagssårbarhed i deres Cisco AnyConnect Secure Mobility Client VPN-software. Proof-of-concept-udnyttelseskode er offentligt tilgængelig.

Cisco afslørede denne 0-dagssårbarhed (CVE-2020-3556) allerede tilbage i november 2020 uden at frigive nogen sikkerhedsopdateringer, men leverede afbødende foranstaltninger for at mindske angrebsoverfladen. Det skriver Bleeping Computer.

Cisco Product Security Incident Response Team (PSIRT) har oplyst, at proof-of-concept udnyttelseskode er tilgængelig, men der er ikke er bevis for, at sårbarheden har været udnyttet.

Standardkonfigurationer er ikke sårbare over for angreb

Sårbarheden, der betegnes kritisk, er blevet fundet i Cisco AnyConnect Clients IPC-kanal (interprocess communication), og det kan muligvis tillade godkendte samt lokale angribere at udføre ondsindede scripts via en målrettet bruger. CVE-2020-3556 påvirker alle Windows, Linux og macOS klientversioner af disse sårbare konfigurationer; mobile iOS og Android klienterne påvirkes dog ikke.

Det kræves aktive AnyConnect sessioner og gyldige legitimationsoplysninger på den målrettede enhed for en vellykket udnyttelse.

Cisco har tilføjet, at:

  • Sårbarheden ikke kan udnyttes på bærbare computere, der bruges af en enkelt bruger, men kræver i stedet gyldige login til flere brugere på enheden.
  • Sårbarheden ikke kan fjernudnyttes, da det kræver lokale legitimationsoplysninger på enheden, for at angriberen kan handle på det lokale system.
  • Scriptene køres som standard på brugerniveau. Hvis den lokale AnyConnect bruger manuelt hæver privilegiet for brugeren, kører scriptsne med forhøjede privilegier.

Sårbarheden er blevet behandlet i Cisco AnyConnect Secure Mobility Client frigivelserne 4.10.00093 og nyere.

Disse nye versioner introducerer også nye indstillinger i klienten, der hjælper med at tillade / ikke tillade scripts, hjælp, ressourcer eller lokaliseringsopdateringer. Disse indstillinger anbefales for øget beskyttelse.

Afbødning er også tilgængelig

Kunder, der ikke med det samme kan installere de frigivne sikkerhedsopdateringer, kan stadig mindske sårbarheden ved at slå Auto Update funktionen fra. Angrebsoverfladen kan også reduceres ved at deaktivere konfigurationsindstillingen ”Enable scripting” på enheder hvor den er aktiveret.

Cisco leverer også detaljerede opgraderingsinstruktioner til kunder, der allerede har anvendt de anbefalede løsninger eller ikke kan opgradere til de patchede udgivelser.

Links:

https://www.bleepingcomputer.com/news/security/cisco-fixes-6-month-old-anyconnect-vpn-zero-day-with-exploit-code/
https://securityaffairs.co/wordpress/117855/security/cisco-anyconnect-zero-day.html