05/11/20
Компания Cisco раскрыла подробности об уязвимости в своем клиенте защищенного мобильного доступа AnyConnect Secure Mobility Client, позволяющей удаленно выполнить код. Для уязвимости уже доступен PoC-эксплоит, но Cisco еще только работает над ее исправлением. По данным Cisco Product Security Incident Response Team, киберпреступники пока не используют уязвимость в своих атаках.
Проблема, получившая идентификатор CVE-2020-3556, существует в канале связи для межпроцессного взаимодействия (IPC) и позволяет локальному авторизованному атакующему выполнять вредоносные скрипты с привилегиями текущего пользователя. Уязвимость существует из-за отсутствия аутентификации для слушателя IPC, и для того, чтобы ее проэксплуатировать, злоумышленник должен отправить слушателю IPC уязвимого клиента AnyConnect особым образом сконфигурированное IPC-сообщение.
Для успешной эксплуатации уязвимости во время атаки необходим активный сеанс пользователя AnyConnect. Кроме того, злоумышленнику потребуются действительные учетные данные пользователя системы, на которой запущен клиент AnyConnect.
Проблема затрагивает все версии клиента AnyConnect для Windows, Linux, и macOS с уязвимыми конфигурациями и не затрагивает мобильные версии для iOS- и Android-устройств. Эксплуатация уязвимости возможна, если в клиенте активированы опции Auto Update (включена по умолчанию) и Enable Scripting (отключена по умолчанию).
Хотя исправление еще не выпущено, обезопасить себя от атак с эксплуатацией CVE-2020-3556 можно, отключив Auto Update. Отключение Enable Scripting на системах, где она включена, также позволит уменьшить поверхность атак.
Проблема была обнаружена специалистом Secure Mobile Networking Lab Дармштадтского технического университета Гербертом Ройтбурдом (Gerbert Roitburd), сообщившим о ней компании Cisco.
