思科提供软件更新的两个AnyConnect Windows产品它说正在积极被剥削。
AnyConnect Windows安全软件包,在本例中为Windows机器,建立VPN连接,提供访问控制和支持其他端点安全特性。思科称AnyConnect产品MacOS, Linux不受影响。
思科表示,思科产品安全事件响应团队(PSIRT)意识到概念验证漏洞利用代码可用,这是本咨询中描述。
“2022年10月,思科PSIRT意识到额外的尝试在野外利用这个漏洞。思科继续强烈建议客户升级到一个固定的软件发布修复这个漏洞,厂商说漏洞的警报。
没有解决的问题,但软件更新是可用的来解决这些问题,思科。
第一脆弱性涉及一个弱点在进程间通信(IPC)思科渠道AnyConnect安全移动客户端窗口可以让一个经过验证的本地攻击者执行一个微软动态链接Libranry (DLL)劫持攻击。利用这个漏洞,攻击者需要有效身份证件在Windows系统上,思科。
“漏洞是由于验证资源不足所加载的应用程序在运行时。攻击者可以利用此漏洞通过发送一个精心IPC消息AnyConnect过程,“思科。“一个成功的利用可以让攻击者受影响的机器上执行任意代码系统特权。”
思科修复这个漏洞在思科AnyConnect安全移动客户机4.9.00086后来为Windows版本。
第二个弱点是思科AnyConnect安装组件的安全移动客户端窗口允许经过身份验证的本地攻击者将用户提供的文件复制到系统级和系统级目录权限。
漏洞是由于不正确的处理的目录路径,思科。攻击者可以利用此漏洞通过创建一个恶意文件,并将文件复制到系统目录中。
“这可能包括DLL预装,DLL劫持,和其他相关的攻击。利用这个漏洞,攻击者需要有效身份证件在Windows系统上,“思科。
思科AnyConnect安全移动客户端为Windows版本4.8.02042后来包含这个漏洞的修复。
最近除了Windows弱点,思科修补漏洞思科AnyConnect VPN服务器的思科Meraki MX和思科Meraki Z3远程工作人员网关设备。
这个漏洞,不知道被利用在野外,是由于client-supplied参数的验证不足而建立一个SSL VPN会话,思科。
“攻击者可以利用这个漏洞通过制作一个恶意的请求,并将其发送给受影响的设备,“思科。“一个成功的利用可以让攻击者导致思科AnyConnect VPN服务器崩溃,重启,导致建立SSL VPN连接的失败,迫使远程用户发起一个新的VPN连接和认证。持续攻击可以防止新的SSL VPN连接被建立了,“思科。
攻击流量停止时,思科AnyConnect VPN服务器恢复优雅而不需要人工干预,思科指出。
思科Meraki发布了软件更新解决这个漏洞,没有解决方法。