Zwei Schwachstellen in Ciscos AnyConnect sind eigentlich längst geschlossen. Eigentlich muss man dafür aber den Client updaten. Eigentlich.
Cisco warnt vor zwei Sicherheitslücken im AnyConnect Secure Mobility Client. Die eigentlich schon vor zwei Jahren geschlossenen Schwachstellen werden offenbar noch immer aktiv ausgenutzt. Dank vorhandener Proof-of-Concept-Exploits ist das auch keine Herausforderung.
AnyConnect sollte eigentlich „sicheres Arbeiten“ ermöglichen
Der Netzwerkausrüster Cisco hat kürzlich eine Warnung vor zwei Sicherheitslücken in der Windows-Version des AnyConnect Secure Mobility Clients herausgegeben. Die aktiv ausgenutzten Schwachstellen erlauben es Angreifern, DLL-Hijacking-Angriffe durchzuführen. Und auch Dateioperationen in Systemverzeichnissen sowie die Ausführung von beliebigem Code mit Systemrechten sind dadurch möglich.
Normalerweise soll der AnyConnect Secure Mobility Client ein sicheres Arbeiten über ein VPN (Virtual Private Network) ermöglichen, indem er Endgeräte per SSL (Secure Sockets Layer) und IPsec IKEv2 mit einem Unternehmensnetzwerk verbindet.
Updates stehen schon seit 2020 bereit
Wie BleepingComputer berichtet, benötigen Angreifer zwar eine Authentifizierung, um die Sicherheitslücken auszunutzen, doch sei eine Kombination mit Rechteerweiterungsschwachstellen durchaus möglich. Entsprechende Proof-of-Concept-Exploits für beide Schwachstellen (CVE-2020-3433 und CVE-2020-3153) seien bereits online verfügbar.
Beide Sicherheitslücken hat Cisco bereits im Jahr 2020 durch Updates für AnyConnect geschlossen. Dennoch haben offenbar noch immer einige Unternehmen keine Aktualisierung durchgeführt. „Im Oktober 2022 erfuhr das Cisco PSIRT von weiteren Versuchen, diese Schwachstelle in freier Wildbahn auszunutzen„, warnt Cisco. Der Netzwerkausrüster „empfiehlt seinen Kunden weiterhin dringend, ein Upgrade auf eine korrigierte Softwareversion durchzuführen, um diese Schwachstelle zu beheben.„
CISA warnt ebenfalls vor den beiden AnyConnect-Schwachstellen
Auch die CISA (Cybersecurity and Infrastructure Security Agency) hat die beiden Lücken des AnyConnect Secure Mobility Clients in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Infolgedessen haben US-amerikanische Bundesbehörden aufgrund einer operativen Richtlinie nun eine Frist von drei Wochen, um sicherzustellen, dass die Sicherheitslücken innerhalb ihrer Infrastruktur nicht weiter ausgenutzt werden können.
Auch allen anderen Organisationen empfiehlt die CISA, die Schwachstellen in AnyConnect zeitnah zu schließen. Denn diese Arten von Sicherheitslücken seien „ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellen ein erhebliches Risiko für Bundesunternehmen dar.„
Erst im August hatte Cisco einen Sicherheitsvorfall zu vermelden, bei dem eine Ransomwaregruppe Zugriff auf das Netzwerk des Unternehmens erlangte. Die Hacker kaperten dafür den VPN-Zugang eines Mitarbeiters.