Cisco AnyConnect VPN 0-day-Schwachstelle und Exploit öffentlich

[English]Dumme Geschichte, Cisco hat vor wenigen Stunden eine Zero-Day-Schwachstelle in der Cisco AnyConnect Secure Mobility Client-Software bekannt gegeben. Zudem gibt es einen öffentlich zugänglichem Proof-of-Concept-Angriffscode, wie der Hersteller einräumte.


Anzeige

Der Cisco AnyConnect Secure Mobility Client ermöglicht Remote-Mitarbeitern von jedem Gerät, zu jeder Zeit und an jedem Ort einen reibungslosen, Zugriff auf das Unternehmensnetzwerk. Cisco verspricht einen hochsicheren Zugang, der gleichzeitig das Unternehmen schützt.

Schwachstelle CVE-2020-3556

Cisco hat zum 4. November 2020 dieses Security-Advisory veröffentlicht, auf das ich bei den Kollegen von Bleeping Computer auf den Sachverhalt aufmerksam geworden bin. Im Interprozesskommunikationskanal (IPC) der Cisco AnyConnect Secure Mobility Client Software gibt es die Schwachstelle CVE-2020-3556. Die Schwachstelle ist auf eine fehlende Authentifizierung gegenüber dem IPC-Listener zurückzuführen.

Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er fertige IPC-Nachrichten an den IPC-Listener des AnyConnect-Clients sendet. Dies könnte es einem authentifizierten, lokalen Angreifer ermöglichen, einen AnyConnect-Benutzer zur Ausführung eines bösartigen Skripts zu veranlassen. Dieses Skript würde mit den Privilegien des betroffenen AnyConnect-Benutzers ausgeführt.

Um diese Schwachstelle erfolgreich auszunutzen, muss zum Zeitpunkt des Angriffs eine laufende AnyConnect-Sitzung des Zielbenutzers bestehen. Um diese Schwachstelle auszunutzen, bräuchte der Angreifer auch gültige Benutzer-Anmeldedaten auf dem System, auf dem der AnyConnect-Client ausgeführt wird.

Diese Cisco-Produkte sind betroffen

Laut dem Cisco Security-Advisory sind verschiedene Desktop Cisco AnyConnect Secure Mobility Clients von dieser Schwachstelle betroffen. Der Hersteller führt folgende Softwaremodule auf:

  • AnyConnect Secure Mobility Client for Linux
  • AnyConnect Secure Mobility Client for MacOS
  • AnyConnect Secure Mobility Client for Windows

Diese Schwachstelle betrifft nicht den Cisco AnyConnect Secure Mobility Client für die Apple iOS- und Android-Plattformen. Zudem muss bei den betroffenen Clients eine bestimmte Konfiguration vorliegen, um die mit 7.8 von 10 bewertete Schwachstelle ausnutzen zu können.

Anfällige Konfiguration

Eine anfällige Konfiguration erfordert, dass sowohl die Einstellung Automatische Aktualisierung als auch die Einstellung Scripting aktivieren aktiviert ist. Die Einstellung Auto Update ist standardmäßig aktiviert, und die Einstellung Enable Scripting ist standardmäßig deaktiviert.

Um diese Einstellungen auf der Adaptive Security Appliance (ASA) zu überprüfen, gehen Sie zu Konfiguration > Fernzugriff VPN > Netzwerk (Client) Zugriff > AnyConnect Client-Profil. Weitere Einzelheiten finden Sie im Kapitel AnyConnect Profile Editor im Cisco AnyConnect Secure Mobility Client Administrator Guide.


Anzeige

Keine Workarounds, aber Gegenmaßnahmen

Es gibt keine Umgehungslösungen, die diese Schwachstelle beheben. Cisco schlägt als Gegenmaßnahme eine die Deaktivierung der Funktion zur automatischen Aktualisierung vor. Weitere Einzelheiten finden Sie im Abschnitt Deaktivieren der automatischen Aktualisierung von AnyConnect im Cisco AnyConnect Secure Mobility Client Administrator Guide.

Falls die Funktion „Auto Update“ nicht deaktiviert werden kann, würde die Deaktivierung der Konfigurationseinstellung „Enable Scripting“ die Angriffsfläche verringern. Weitere Einzelheiten finden Sie im Abschnitt Cisco AnyConnect Profile Editor Preferences im Cisco AnyConnect Secure Mobility Client Administrator Guide.

Cisco will kostenlose Software-Updates herausgeben, die die in diesem Hinweis beschriebene Schwachstelle beheben. Der Hersteller weist aber darauf hin, dass Kunden nur für Softwareversionen und Funktionssätze Support erwarten dürfen, für die sie eine Lizenz erworben haben. Die Sicherheitslücke im Cisco AnyConnect Secure Mobility Client wurde jedoch laut dem Cisco Product Security Incident Response Team (PSIRT) bisher noch nicht in freier Wildbahn ausgenutzt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Citrix, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.