0
0
A Cisco divulgou uma vulnerabilidade de zero-day no software Cisco AnyConnect Secure Mobility Client e a disponibilidade de código de exploração PoC.
A Cisco divulgou uma vulnerabilidade de zero-day, rastreada como CVE-2020-3556, no software Cisco AnyConnect Secure Mobility Client com a disponibilidade pública de um código de exploração de prova de conceito.
A falha do CVE-2020-3556 residia no canal de comunicação interprocesso (IPC) do Cisco AnyConnect Client, pode ser explorada por invasores autenticados e locais para executar scripts maliciosos através de um usuário direcionado.
“Uma vulnerabilidade no canal de comunicação interprocesso (IPC) do Cisco AnyConnect Secure Mobility Client Software poderia permitir que um invasor local autenticado possa fazer com que um usuário anyConnect direcionado execute um script malicioso.” lê-se no aviso publicado pela empresa.
“A vulnerabilidade se deve à falta de autenticação ao ouvinte do IPC. Um invasor poderia explorar essa vulnerabilidade enviando mensagens IPC criadas para o ouvinte IPC do cliente AnyConnect. Uma exploração bem-sucedida pode permitir que um invasor cause o usuário AnyConnect direcionado a executar um script. Este script seria executado com os privilégios do usuário AnyConnect direcionado.”
Ele afeta todas as versões do cliente AnyConnect para Windows, Linux e macOS com configurações vulneráveis. A gigante de TI confirmou que os clientes iOS e Android não são impactados por essa falha.
“Para explorar com sucesso essa vulnerabilidade, deve haver uma sessão AnyConnect em andamento pelo usuário-alvo no momento do ataque. Para explorar essa vulnerabilidade, o invasor também precisaria de credenciais de usuário válidas no sistema sobre o qual o cliente AnyConnect está sendo executado.” continua o comunicado.
“Uma configuração vulnerável requer que a configuração de atualização automática e a configuração de scripting sejam ativadas, a atualização automática está ativada por padrão e o Habilitamento de scripting é desativado por padrão.”
O problema pode ser explorado na presença de sessões ativas do AnyConnect e credenciais válidas no dispositivo-alvo.
Infelizmente, a Cisco ainda não abordou a falha arbitrária de execução de código, espera-se que uma correção seja incluída em uma futura versão do cliente AnyConnect.
A Cisco recomenda desativar o recurso Atualização Automática para mitigar a falha do CVE-2020-3556, não há soluções alternativas para endereça-la.
A Equipe de Resposta a Incidentes de Segurança do Produto Cisco (PSIRT) não está ciente de ataques na natureza que exploraram a vulnerabilidade.
A superfície de ataque também pode ser drasticamente diminuída, desligando a configuração Habilitar scripting em dispositivos onde está habilitada.
A vulnerabilidade foi relatada à Cisco por Gerbert Roitburd do Secure Mobile Networking Lab (TU Darmstadt).
A Cisco também abordou outras 11 outras vulnerabilidades de segurança de alta gravidade e 23 de média gravidade em vários produtos que poderiam ser exploradas para desencadear uma condição de negação de serviço ou para executar código arbitrário em dispositivos vulneráveis.
FONTE: SECURITY AFFAIRS