思科今天公开了带有可公开使用的概念验证漏洞利用代码的Cisco AnyConnect安全移动客户端软件中的零日漏洞。
尽管尚无针对此任意代码执行漏洞的安全更新,但思科正在努力解决零时差问题,并将在将来的AnyConnect客户端版本中修复此问题。
但是, 根据思科产品安全事件响应团队(PSIRT)的说法,尚未充分利用Cisco AnyConnect安全移动客户端的安全漏洞。
具有默认配置的设备不容易受到攻击
跟踪为CVE-2020-3556的高严重性漏洞存在于Cisco AnyConnect Client的进程间通信(IPC)通道中,它可能允许经过身份验证的攻击者和本地攻击者通过目标用户执行恶意脚本。
它会影响具有脆弱配置的Windows,Linux和macOS的所有AnyConnect客户端版本-移动iOS和Android客户端不受此漏洞的影响。
思科解释说: “易受攻击的配置需要同时启用“自动更新”设置和“启用脚本”设置。” “默认情况下启用自动更新,默认情况下禁用启用脚本。”
成功的利用还需要活动的AnyConnect会话和目标设备上的有效凭据。
有缓解措施
即使没有解决CVE-2020-3556的解决方法,也可以通过禁用自动更新功能来缓解。
通过在启用了此功能的设备上切换“启用脚本”配置设置,也可以大大降低攻击面 。
安全移动网络实验室(TU Darmstadt)的Gerbert Roitburd向思科报告了此漏洞。
Cisco今天还修复了多个产品中的其他11个高严重级别和23个中等严重级别的安全漏洞,这些漏洞可能导致拒绝服务或在易受攻击的设备上执行任意代码。
思科还分别于9月和7月修复了一些运营商级路由器和ASA / FTD防火墙中被利用的漏洞。
*编译:Domino
*来自:bleepingcomputer