Cisco раскрывает AnyConnect VPN zero-day, доступен код эксплойта

отредактировано ноября 2020 Раздел: Уязвимости систем и приложений
Cisco.jpg

Cisco раскрыла сегодня уязвимость нулевого дня в программном обеспечении Cisco AnyConnect Secure Mobility Client с общедоступным контрольным кодом эксплойта.

Хотя обновления безопасности для этой уязвимости, связанной с выполнением произвольного кода, еще не доступны, Cisco работает над решением проблемы «нулевого дня», и исправление будет внесено в будущую версию клиента AnyConnect.

Однако, по данным группы реагирования на инциденты безопасности продуктов Cisco (PSIRT), уязвимость безопасности клиента Cisco AnyConnect Secure Mobility еще не использовалась в реальных условиях.

Устройства с конфигурациями по умолчанию не уязвимы

Уязвимость высокой степени серьезности, отслеживаемая как CVE-2020-3556, существует в канале межпроцессного взаимодействия (IPC) клиента Cisco AnyConnect и может позволить аутентифицированным и локальным злоумышленникам выполнять вредоносные сценарии через целевого пользователя.

Она затрагивает все версии клиентов AnyConnect для Windows, Linux и macOS с уязвимыми конфигурациями - мобильные клиенты iOS и Android не подвержены этой уязвимости.

«Уязвимая конфигурация требует, чтобы были включены настройки автоматического обновления и включения сценариев», - поясняет Cisco. «Автообновление включено по умолчанию, а включение сценариев отключено по умолчанию».

Для успешной эксплуатации также требуются активные сеансы AnyConnect и действительные учетные данные на целевом устройстве.

Доступны меры по смягчению последствий

Несмотря на то, что обходных путей для решения CVE-2020-3556 не существует, ее можно смягчить, отключив функцию автоматического обновления.

Поверхность атаки также можно резко уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.

Об уязвимости в Cisco сообщил Герберт Ройтбурд из Secure Mobile Networking Lab (TU Darmstadt).

Сегодня Cisco также исправила 11 других ошибок безопасности высокой степени серьезности и 23 ошибки безопасности средней степени серьезности в нескольких продуктах, которые могли привести к отказу в обслуживании или выполнению произвольного кода на уязвимых устройствах.

Cisco также исправила активно эксплуатируемые недостатки в нескольких маршрутизаторах операторского уровня и межсетевом экране ASA / FTD в сентябре и июле соответственно.

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано 13 мая PM
    Cisco устранила уязвимость нулевого дня шестимесячной давности, обнаруженную в программном обеспечении Cisco AnyConnect Secure Mobility Client VPN, с помощью общедоступного кода эксплойта.

    Клиент AnyConnect Secure Mobility Client компании позволяет работать на корпоративных устройствах, подключенных к защищенной виртуальной частной сети (VPN) через Secure Sockets Layer (SSL) и IPsec IKEv2, используя VPN-клиенты, доступные для всех основных настольных и мобильных платформ.

    Cisco раскрыла ошибку нулевого дня, отмеченную как CVE-2020-3556, в ноябре 2020 года, не выпуская обновлений безопасности, но предоставила меры по снижению вероятности атаки.

    Хотя группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявила, что доступен тестовый код эксплойта CVE-2020-355, она также добавила, что нет никаких свидетельств того, что злоумышленники использовали его в дикой природе.

    Уязвимость устранена в программном обеспечении Cisco AnyConnect Secure Mobility Client версии 4.10.00093 и более поздних.

    В этих новых версиях также представлены новые параметры, помогающие индивидуально разрешать / запрещать обновления сценариев, справки, ресурсов или локализации в локальной политике - параметры, которые настоятельно рекомендуются для повышения защиты.

    Также доступно смягчение последствий

    Клиенты, которые не могут сразу установить обновления безопасности, выпущенные вчера, могут снизить уязвимость, отключив функцию автоматического обновления.

    Поверхность атаки также можно уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.

    Cisco также предоставляет подробные инструкции по обновлению для клиентов, которые уже применили рекомендуемые обходные пути или не могут выполнить обновление до исправленных выпусков.

    На прошлой неделе компания также исправила критические недостатки безопасности программного обеспечения SD-WAN vManage и HyperFlex HX, которые могли позволить удаленным злоумышленникам создавать мошеннические учетные записи администратора или выполнять произвольные команды от имени пользователя root.

    https://www.bleepingcomputer.com/news/security/cisco-fixes-6-month-old-anyconnect-vpn-zero-day-with-exploit-code/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.