Cisco waarschuwt voor nog ongepatcht beveiligingslek in AnyConnect

[Captain Kirk]

Cisco heeft een waarschuwing afgegeven voor een kwetsbaarheid in de vpn-software AnyConnect waar nog geen beveiligingsupdate voor beschikbaar is. Wel is er inmiddels proof-of-concept exploitcode online verschenen waarmee er misbruik van het beveiligingslek kan worden gemaakt.

Via de kwetsbaarheid kan een lokale aanvaller een gebruiker van AnyConnect een kwaadaardig script laten uitvoeren. Het beveiligingslek in de Cisco AnyConnect Secure Mobility Client is op een schaal van 1 tot en met 10 wat betreft de ernst met een 7,3 beoordeeld. Er zijn namelijk verschillende voorwaarden vereist om misbruik van de kwetsbaarheid te kunnen maken.

Zo moet er een actieve AnyConnect-verbinding van de gebruiker zijn en moet de aanvaller over geldige inloggegevens beschikken van het systeem waarop de AnyConnect-client draait. Door het versturen van een speciaal geprepareerd interprocess communication (IPC)-bericht naar de AnyConnect-client kan er vervolgens een kwaadaardig script worden uitgevoerd.

Er zijn geen workarounds voor de kwetsbaarheid, maar wel een mitigatie. Gebruikers kunnen er volgens Cisco voor kiezen om de automatische updatefunctie uit te schakelen. Wanneer dit niet mogelijk is kan het uitschakelen van de Enable Scripting-configuratie het aanvalsoppervlak verkleinen. Cisco zegt het beveiligingslek in de toekomst via een update te zullen verhelpen. Het is echter nog onbekend wanneer de patch precies zal verschijnen.

 

bron: security.nl