De asemenea, Cisco a dezvăluit vulnerabilități de mare severitate în produsele sale Webex și SD-WAN.
Cisco a dezvăluit o vulnerabilitate zero-day – pentru care nu există încă un patch – în versiunile Windows, macOS și Linux ale software-ului său AnyConnect Secure Mobility Client.
În timp ce Cisco a declarat că nu are cunoștință de niciun exploit disponibil în acest moment pentru vulnerabilitate, a afirmat că un cod de exploit Proof-of-Concept (PoC) a fost lansat, deschizând riscurile ca infractorii cibernetici să profite de potențialul defectului. Defectul (CVE-2020-3556) este o vulnerabilitate la executarea arbitrară a codului cu un scor CVSS de 7,3 din 10, ceea ce îl face să fie sever.
„Cisco nu a lansat actualizări de software care abordează această vulnerabilitate”, conform recomandărilor Cisco de miercuri. „Cisco intenționează să remedieze această vulnerabilitate într-o versiune viitoare a software-ului Cisco AnyConnect Secure Mobility Client.”
AnyConnect Secure Mobility Client, un produs software modular pentru echipamente individuale, oferă o gamă largă de servicii de securitate, precum acces la distanță, caracteristici de securitate web și protecție în roaming, pentru dispozitive endpoint.
Defectul ar putea permite unui atacator să determine un utilizator AnyConnect vizat să execute un script rău intenționat – cu toate acestea, pentru a lansa un atac, un ciber-criminal ar trebui să fie autentificat și în rețeaua locală.
„Pentru a exploata cu succes această vulnerabilitate, trebuie să existe o sesiune deschisă de AnyConnect de către utilizatorul vizat în momentul atacului”, potrivit Cisco. „Pentru a exploata această vulnerabilitate, atacatorul ar avea nevoie, de asemenea, de credențiale de utilizator valide pe sistemul pe care este rulat clientul AnyConnect.”
Potrivit Cisco, vulnerabilitatea există în canalul de comunicare interproces (IPC). IPC este un set de interfețe de programare care permite unui program să gestioneze mai multe cereri ale utilizatorilor în același timp. Mai exact, în acest caz, receptorul IPC are o problemă, o lipsă de autentificare.
„Un atacator ar putea exploata această vulnerabilitate trimițând mesaje IPC create către receptorul IPC al clientului AnyConnect”, potrivit Cisco. „O exploatare reușită a acesteia ar putea permite unui atacator să determine utilizatorul AnyConnect vizat să execute un script. Acest script se va executa cu privilegiile utilizatorului AnyConnect vizat.”
Deși nu există soluții alternative care să abordeze această vulnerabilitate, o soluție ar fi dezactivarea caracteristicilor de Auto Update și Enable Scripting. Acest lucru se datorează faptului că o configurație vulnerabilă necesită ca atât setarea Auto Update, cât și cea de Enable Scripting să fie activate. Auto Update este activată în mod implicit, iar Enable Scripting este dezactivată în mod implicit, a spus Cisco.
Gerbert Roitburd de la Secure Mobile Networking Lab (TU Darmstadt) a fost creditat cu raportarea vulnerabilității.
Cisco a lansat miercuri actualizări pentru alte 13 CVE-uri de mare severitate pe mai multe produse. Aceasta listă include o eroare de executare a codului arbitrar (CVE-2020-3588) în aplicația Cisco Webex Meetings Desktop, precum și trei erori de executare a codului arbitrar (CVE-2020-3573, CVE-2020-3603, CVE-2020-3604) în Webex Network Recording Player și Webex Player.
Defecțiuni legate de șapte CVE au fost, de asemenea, descoperite în Cisco SD-WAN, inclusiv un bug de creare a fișierelor (CVE-2020-26071), un defect de escaladare a privilegiilor (CVE-2020-26074) și un defect de denial-of-service (DoS) (CVE- 2020-3574).
Sursa: Threatpost.com
