Samstag, Dezember 3, 2022

Cisco AnyConnect Windows-Client unter aktivem Angriff

Laut Cisco nutzen Angreifer zwei Schwachstellen in seinem AnyConnect Secure Mobility Client für Windows aus, der einen sicheren VPN-Zugang für Remote-Mitarbeiter gewährleisten soll.

Einer der beiden Fehler, der als CVE-2020-3433 verfolgt wird, ist ein Problem mit der Rechteausweitung: Ein authentifizierter lokaler Benutzer kann AnyConnect nutzen, um Code mit Rechten auf SYSTEM-Ebene auszuführen. Ein bösartiger Insider oder Malware auf einem PC kann damit die vollständige Kontrolle über das System erlangen. Es betrifft Versionen von Cisco AnyConnect Secure Mobility Client für Windows vor Version 4.9.00086.

Die Schwachstelle mit hohem Schweregrad erhielt eine CVSS-Schwerepunktzahl von 7,8 von 10, und die gute Nachricht ist, dass der Netzwerkgigant vor ein paar Jahren einen Software-Patch veröffentlicht hat, um den Fehler zu beheben. Cisco benachrichtigte Kunden erstmals im August 2020 über diesen Fehler und warnte zuvor, dass Proof-of-Concept-Exploit-Code öffentlich verfügbar sei. Jetzt hat der Verkäufer eine neue Warnung herausgegeben:

„Im Oktober 2022 wurde das Cisco Product Security Incident Response Team auf weitere Versuche aufmerksam, diese Schwachstelle in freier Wildbahn auszunutzen. Cisco rät Kunden weiterhin dringend, auf eine feste Softwareversion zu aktualisieren, um diese Schwachstelle zu beheben“.

Angeblich böswillige Akteure missbrauchen diese Software, sobald sie ein Netzwerk infiltrieren, um die vollständige Kontrolle über die PCs der AnyConnect-Benutzer zu erlangen.

Die zweite Schwachstelle von Cisco, verfolgt als CVE-2020-3153, befindet sich in der Installationskomponente von AnyConnect Secure Mobility Client für Windows und erfordert ebenfalls einen angemeldeten Benutzer oder Malware auf einem System, um sie auszunutzen. Mit einem CVSS-Score von 6,5 wird er als Bug mit mittlerem Schweregrad angesehen, aber da sowohl Ciso als auch CISA von „In-the-Wild“-Exploits wissen, schlagen wir vor, ihn mit hoher Priorität zu patchen.

Dies liegt an der falschen Behandlung von Verzeichnispfaden, und ein authentifizierter Benutzer könnte den Fehler ausnutzen, um seinen Code in ein Systemverzeichnis zu kopieren und ihn mit erhöhten Rechten auszuführen, wodurch er den PC beschlagnahmen könnte, wird uns gesagt.

Softwareversionen 4.8.02042 und früher sind anfällig und alle neueren Produktversionen enthielten den Fix.

Einen Tag vor der Veröffentlichung des Sicherheitsupdates durch den Anbieter hat die US-amerikanische Behörde für Cybersicherheit und Infrastruktur (CISA) beide Fehler des Cisco AnyConnect Secure Mobility Client für Windows in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Insgesamt hat Cisco diesen Monat 18 Sicherheitsupdates veröffentlicht, von denen sechs als „Hoch“ und der Rest als „Mittel“ eingestuft wurden. ®

PS: VMware Cloud Foundation enthält eine kritische Schwachstelle bezüglich Remotecodeausführung (CVE-2021-39144) über die XStream-Open-Source-Bibliothek, die es importiert. Updates sollen diese Lücke stopfen.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles