Cisco: выпущен эксплойт для ошибки Cisco AnyConnect, предоставляющий привилегии SYSTEM

отредактировано September 2023 Раздел: Уязвимости систем и приложений
Cisco.jpg

Cisco раскрывает AnyConnect VPN zero-day, доступен код эксплойта

Cisco раскрыла сегодня уязвимость нулевого дня в программном обеспечении Cisco AnyConnect Secure Mobility Client с общедоступным контрольным кодом эксплойта.

Хотя обновления безопасности для этой уязвимости, связанной с выполнением произвольного кода, еще не доступны, Cisco работает над решением проблемы «нулевого дня», и исправление будет внесено в будущую версию клиента AnyConnect.

Однако, по данным группы реагирования на инциденты безопасности продуктов Cisco (PSIRT), уязвимость безопасности клиента Cisco AnyConnect Secure Mobility еще не использовалась в реальных условиях.

Устройства с конфигурациями по умолчанию не уязвимы

Уязвимость высокой степени серьезности, отслеживаемая как CVE-2020-3556, существует в канале межпроцессного взаимодействия (IPC) клиента Cisco AnyConnect и может позволить аутентифицированным и локальным злоумышленникам выполнять вредоносные сценарии через целевого пользователя.

Она затрагивает все версии клиентов AnyConnect для Windows, Linux и macOS с уязвимыми конфигурациями - мобильные клиенты iOS и Android не подвержены этой уязвимости.

«Уязвимая конфигурация требует, чтобы были включены настройки автоматического обновления и включения сценариев», - поясняет Cisco. «Автообновление включено по умолчанию, а включение сценариев отключено по умолчанию».

Для успешной эксплуатации также требуются активные сеансы AnyConnect и действительные учетные данные на целевом устройстве.

Доступны меры по смягчению последствий

Несмотря на то, что обходных путей для решения CVE-2020-3556 не существует, ее можно смягчить, отключив функцию автоматического обновления.

Поверхность атаки также можно резко уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.

Об уязвимости в Cisco сообщил Герберт Ройтбурд из Secure Mobile Networking Lab (TU Darmstadt).

Сегодня Cisco также исправила 11 других ошибок безопасности высокой степени серьезности и 23 ошибки безопасности средней степени серьезности в нескольких продуктах, которые могли привести к отказу в обслуживании или выполнению произвольного кода на уязвимых устройствах.

Cisco также исправила активно эксплуатируемые недостатки в нескольких маршрутизаторах операторского уровня и межсетевом экране ASA / FTD в сентябре и июле соответственно.

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано May 2021 PM
    Cisco устранила уязвимость нулевого дня шестимесячной давности, обнаруженную в программном обеспечении Cisco AnyConnect Secure Mobility Client VPN, с помощью общедоступного кода эксплойта.

    Клиент AnyConnect Secure Mobility Client компании позволяет работать на корпоративных устройствах, подключенных к защищенной виртуальной частной сети (VPN) через Secure Sockets Layer (SSL) и IPsec IKEv2, используя VPN-клиенты, доступные для всех основных настольных и мобильных платформ.

    Cisco раскрыла ошибку нулевого дня, отмеченную как CVE-2020-3556, в ноябре 2020 года, не выпуская обновлений безопасности, но предоставила меры по снижению вероятности атаки.

    Хотя группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявила, что доступен тестовый код эксплойта CVE-2020-355, она также добавила, что нет никаких свидетельств того, что злоумышленники использовали его в дикой природе.

    Уязвимость устранена в программном обеспечении Cisco AnyConnect Secure Mobility Client версии 4.10.00093 и более поздних.

    В этих новых версиях также представлены новые параметры, помогающие индивидуально разрешать / запрещать обновления сценариев, справки, ресурсов или локализации в локальной политике - параметры, которые настоятельно рекомендуются для повышения защиты.

    Также доступно смягчение последствий

    Клиенты, которые не могут сразу установить обновления безопасности, выпущенные вчера, могут снизить уязвимость, отключив функцию автоматического обновления.

    Поверхность атаки также можно уменьшить, отключив параметр конфигурации «Включить сценарии» на устройствах, на которых он включен.

    Cisco также предоставляет подробные инструкции по обновлению для клиентов, которые уже применили рекомендуемые обходные пути или не могут выполнить обновление до исправленных выпусков.

    На прошлой неделе компания также исправила критические недостатки безопасности программного обеспечения SD-WAN vManage и HyperFlex HX, которые могли позволить удаленным злоумышленникам создавать мошеннические учетные записи администратора или выполнять произвольные команды от имени пользователя root.

    https://www.bleepingcomputer.com/news/security/cisco-fixes-6-month-old-anyconnect-vpn-zero-day-with-exploit-code/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Cisco исправляет ошибку, позволяющую украсть закрытый ключ RSA на устройствах ASA, FTD


    Cisco устранила серьезную уязвимость, затрагивающую ее программное обеспечение Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).

    Этот недостаток безопасности, отслеживаемый как CVE-2022-20866, связан со слабостью в обработке ключей RSA на устройствах ASA и FTD.

    В случае успешного использования он может позволить злоумышленникам, не прошедшим проверку подлинности, удаленно получить закрытый ключ RSA, который они могут использовать для расшифровки трафика устройства или олицетворения устройств Cisco ASA/FTD.

    «Эта уязвимость возникает из-за логической ошибки, когда ключ RSA хранится в памяти на аппаратной платформе, выполняющей аппаратную криптографию», — говорится в бюллетене по безопасности, опубликованном в среду Cisco.

    «Злоумышленник может воспользоваться этой уязвимостью, используя атаку Lenstra по побочному каналу против целевого устройства».

    Ключи RSA (хранящиеся в памяти или во флэш-памяти) в уязвимых версиях программного обеспечения могут быть искажены (неработоспособны, но уязвимы для кражи закрытых ключей) или уязвимы (действительны, но уязвимы для кражи), независимо от того, где они были сгенерированы.

    Уязвимость затрагивает продукты Cisco, использующие уязвимое программное обеспечение Cisco ASA (9.16.1 и выше) или Cisco FTD (7.0.0 и выше), которые выполняют аппаратные криптографические функции:

    ASA 5506-X с сервисами FirePOWER
    ASA 5506H-X с сервисами FirePOWER
    ASA 5506W-X с сервисами FirePOWER
    ASA 5508-X с сервисами FirePOWER
    ASA 5516-X с сервисами FirePOWER
    Межсетевой экран нового поколения серии Firepower 1000
    Охранные устройства серии Firepower 2100
    Охранные устройства серии Firepower 4100
    Охранные устройства серии Firepower 9300
    Безопасный брандмауэр 3100

    Cisco говорит, что если ключ был настроен для использования в любое время, также возможно, что закрытый ключ RSA был передан злоумышленникам.

    «В результате этой уязвимости администраторам устройств Cisco ASA или FTD может потребоваться удалить искаженные или уязвимые ключи RSA и, возможно, отозвать любые сертификаты, связанные с этими ключами RSA», — добавили в компании.

    «Это связано с тем, что закрытый ключ RSA мог быть передан злоумышленнику».

    Cisco выразила благодарность Нади Хенингер и Джорджу Салливану из Калифорнийского университета в Сан-Диего, а также Джексону Сиппе и Эрику Вустроу из Университета Колорадо в Боулдере за сообщение об уязвимости в системе безопасности.

    Группа реагирования на инциденты, связанные с безопасностью продуктов (PSIRT) сетевого гиганта заявляет, что не обнаружила никаких доказательств использования в атаках, хотя информация об этой уязвимости уже была опубликована.

    Рекомендации по безопасности Cisco предоставляют дополнительную информацию об уязвимых конфигурациях и индикаторах компрометации для исправленных выпусков программного обеспечения Cisco ASA или FTD.

    Неделю назад Cisco также устранила критические ошибки безопасности, затрагивающие VPN-маршрутизаторы для малого бизнеса, которые могут позволить злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код или команды и вызвать отказ в обслуживании (DoS) на неисправленных устройствах.

    https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-rsa-private-key-theft-on-asa-ftd-devices/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Выпущен эксплойт для ошибки Cisco AnyConnect, предоставляющий привилегии SYSTEM

    Теперь доступен экспериментальный код эксплойта для серьезной уязвимости в ПО Cisco Secure Client для Windows (ранее AnyConnect Secure Mobility Client), которая позволяет злоумышленникам повысить привилегии до SYSTEM.

    Cisco Secure Client помогает сотрудникам работать из любого места с помощью защищенной виртуальной частной сети (VPN) и предоставляет сетевым администраторам функции телеметрии и управления конечными точками.

    Уязвимость (отслеживаемая как CVE-2023-20178) позволяет злоумышленникам, прошедшим проверку подлинности, повышать привилегии до учетной записи SYSTEM, используемой операционной системой Windows, в атаках низкой сложности, не требующих вмешательства пользователя.

    Успешная эксплуатация требует злоупотребления тем, что Cisco описывает как «особую функцию процесса установки Windows».

    Cisco выпустила обновления безопасности для устранения этой ошибки безопасности в прошлый вторник, когда заявила, что у группы реагирования на инциденты, связанные с безопасностью продукта (PSIRT), нет доказательств злонамеренного использования или общедоступного кода эксплойта, нацеленного на ошибку в дикой природе.

    CVE-2023-20178 была исправлена в выпуске AnyConnect Secure Mobility Client для Windows 4.10MR7 и Cisco Secure Client для Windows 5.0MR2.

    Ранее на этой неделе исследователь безопасности Филип Драгович опубликовал код эксплойта для подтверждения концепции (PoC), который обнаружил и сообщил Cisco об уязвимости произвольного удаления файлов.

    Как объясняет Драгович, этот PoC был протестирован на Cisco Secure Client (проверено на 5.0.01242) и Cisco AnyConnect (проверено на 4.10.06079).

    «Когда пользователь подключается к vpn, процесс vpndownloader.exe запускается в фоновом режиме и создает каталог в c:\windows\temp с разрешениями по умолчанию в следующем формате: <случайные числа>. tmp», — говорит исследователь.

    «После создания этого каталога vpndownloader.exe проверит, является ли этот каталог пустым, и если это не так, он удалит все файлы/каталоги в нем. Это поведение можно использовать для выполнения произвольного удаления файлов с учетной записью NT Authority\SYSTEM».

    Затем злоумышленник может создать оболочку SYSTEM путем произвольного удаления файла, воспользовавшись поведением установщика Windows и тем фактом, что процесс обновления клиента выполняется после каждого успешного VPN-подключения, используя описанную здесь технику для повышения привилегий.

    В октябре Cisco предупредила клиентов, что необходимо исправить еще две уязвимости безопасности AnyConnect (с общедоступным кодом эксплойта и исправленные за три года до этого) из-за активного использования в атаках.

    Два года назад Cisco исправила уязвимость нулевого дня AnyConnect с помощью общедоступного кода эксплойта в мае 2021 года, через шесть месяцев после его первоначального раскрытия в ноябре 2020 года.

    https://www.bleepingcomputer.com/news/security/exploit-released-for-cisco-anyconnect-bug-giving-system-privileges/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.