Sårbarhet i Cisco AnyConnect

Cisco varnar om en sårbarhet i vpn-lösningen Cisco AnyConnect, som påverkar Windows-klienter som har HostScan-modulen installerad. Sårbarheten (CVE-2021-1366) har fått CVSS-klassning 7.8 av 10 och medför att en autentiserad angripare kan utföra en DLL-kapningsattack på en påverkad enhet. [1]

Sårbarheten återfinns i IPC-kanalen i Cisco AnyConnect Secure Mobility Client för Windows. Den beror på otillräcklig validering av de resurser som laddas av programmet vid körning. En angripare kan utnyttja sårbarheten genom att skicka ett särskilt utformat IPC-meddelande till AnyConnect-processen och därefter köra godtycklig kod på den drabbade klienten med systembehörigheter. För att utnyttja denna sårbarhet behöver angriparen giltiga inloggningsuppgifter i Windows-miljön.

Cisco AnyConnect drabbades av liknande problem i augusti förra året. [2]

Påverkade produkter

Cisco AnyConnect Secure Mobility Client för Windows (versioner tidigare än 4.9.05042 och som har modulen VPN Posture (HostScan) installerad)

Rekommendationer

Cisco har släppt programuppdateringar som hanterar sårbarheten. CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt. [1]

Källor

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-hijac-JrcTOQMC

[2] https://www.cert.se/2020/08/sarbarheter-i-cisco-anyconnect-och-dna-center