AnyConnect是思科推出的VPN安全客戶端,AnyConnect主要作用是方便員工在任何設備上安全地辦公。無論員工無論身處何地,AnyConnect都可以讓員工使用公司筆記本電腦或個人行動裝置照常工作。AnyConnect 可簡化安全終端訪問,並提供必要的安全措施確保組織受到持續保護。現階段已有Windows、Android、iOS、OS X、Ubuntu、WebOS等作業系統的客戶端。
根據思科(Cisco)11月5日安全公告顯示,思科AnyConnect安全移動客戶端發現任意代碼執行漏洞,需要儘快升級。以下是漏洞詳情:
漏洞詳情
來源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK
CVE-2020-3556 CVSS評分:7.3 高
Cisco AnyConnect安全移動客戶端軟體的進程間通信(IPC)通道中的漏洞可能允許經過身份驗證的本地攻擊者誘使目標AnyConnect用戶執行惡意腳本。
該漏洞是由於缺乏對IPC偵聽器的身份驗證所致。攻擊者可以通過將精心製作的IPC消息發送到AnyConnect客戶端IPC偵聽器來利用此漏洞。成功利用此漏洞可能使攻擊者導致目標AnyConnect用戶執行腳本。該腳本將以目標AnyConnect用戶的特權執行任意代碼。
注意:若要成功利用此漏洞,攻擊者將需要滿足以下所有條件:
1.目標用戶在其上運行AnyConnect客戶端的系統上的有效用戶憑據。
2.在目標用戶建立活動的AnyConnect會話或建立新的AnyConnect會話時登錄該系統。
3.能夠在該系統上執行代碼。
受影響產品
如果以下平臺的旁路下載器設置為默認值false,則此漏洞會影響以下平臺的所有版本的Cisco AnyConnect安全移動客戶端軟體:
1.適用於Linux的AnyConnect安全移動客戶端
2.適用於MacOS的AnyConnect安全移動客戶端
3.Windows版AnyConnect安全移動客戶端
要驗證VPN客戶端系統上的旁路下載器配置,請打開AnyConnectLocalPolicy.xml文件,然後查找以下行:
<BypassDownloader>false</ BypassDownloader>
如果如上例所示,將Bypass Downloader設置為false,則禁用Bypass Downloader,並且設備受此漏洞影響。如果「旁路下載程序」設置為true,則啟用「旁路下載程序」,並且該設備不受此漏洞影響。
註:該AnyConnectLocalPolicy.xml文件可以在以下位置找到:
Linux:/ opt / cisco / anyconnect /
macOS:/ opt / cisco / anyconnect /
Windows:<DriveLetter>:\ ProgramData \ Cisco \ Cisco AnyConnect安全移動客戶端\
解決方案
思科即將發布免費軟體更新,以解決此通報中描述的漏洞。
在思科發布安全更新之前,建議用戶不需要將VPN前端設備上的更新內容下載到客戶端的客戶可以啟用「繞過下載器」設置
以下是升級修復重要說明:
1.對購買了許可證的軟體版本和功能集提供支持,通過安裝,下載,訪問或以其他方式使用此類軟體升級。
2.從思科或通過思科授權的經銷商或合作夥伴購買的,具有有效許可證的軟體可獲得維護升級。
3.直接從思科購買但不持有思科服務合同的客戶以及通過第三方供應商進行購買但未通過銷售點獲得修復軟體的客戶應通過聯繫思科技術支持中心獲得升級。
4.客戶應擁有可用的產品序列號,並準備提供上述安全通報的URL,以作為有權免費升級的證據。
查看更多漏洞信息 以及升級修復請訪問官網:
https://tools.cisco.com/security/center/publicationListing.x