Menu dostępności

Luki bezpieczeństwa w Cisco VPN umożliwiają przejęcie kontroli nad połączeniem

Luki bezpieczeństwa w Cisco VPN umożliwiają przejęcie kontroli nad połączeniem i wykonanie kodu jako root!

Luki w Cisco SecureClient umożliwiają przeprowadzenie kradzieży danych uwierzytelniających, uzyskanie nieautoryzowanego dostępu i potencjalne wykonanie kodu. Na szczęście firma wypuściła łatki, a przy okazji poprawiła niezałatane wady bezprzewodowych punktów dostępowych w Cisco Small Business.

Secure Client jest powszechnie stosowany do ustanawiania bezpiecznych połączeń wirtualnej sieci prywatnej (VPN). Używa go wiele firm na całym świecie (również w Polsce). Wykryto w nim dwa błędy:

  • pierwszy (CVE-2024-20337, wynik CVSS: 8,2) odkrył badacz bezpieczeństwa Amazona Paulos Yibelo Mesfin, który tak opisał go na swoim profilu w portalu X:

„Właśnie załatano lukę znalezioną w Cisco AnyConnect. CVE-2024-20337 to potężna luka. Zapewnia zewnętrznym atakującym dostęp do sieci wewnętrznych, gdy użytkownicy sieci odwiedzają witrynę internetową kontrolowaną przez osobę atakującą. Zachowaj czujność!”;

  • drugi (CVE-2024-20338, wynik CVSS: 7,3) dotyczy tylko Cisco Secure Client dla systemu Linux i jego pomyślne wykorzystanie wymaga uwierzytelnienia.

W środę 6 marca 2024 r. Cisco ogłosiło aktualizacje luk w zabezpieczeniach i oceniło podatności jako błędy o wysokim stopniu ważności.

CVE-2024-20337 została naprawiona w wersjach 4.10.04065, 4.10.08025, 5.0 i 5.1.2.42.

Obecnie nic nie wskazuje na to, aby którakolwiek z usterek była wykorzystywana przez osoby atakujące, niemniej administratorzy w przedsiębiorstwie powinni szybko dokonać aktualizacji do jednej z poprawionych wersji.

Informacje o podatnościach

CVE-2024-20337

CVE-2024-20337 to luka w zabezpieczeniach polegająca na wstrzykiwaniu sygnału zwrotnego karetki (CRLF), umożliwiająca atakującym wykonanie kodu skryptu lub uzyskanie dostępu do poufnych informacji w przeglądarce, jeśli skonfigurowano ją z funkcją zewnętrznej przeglądarki SAML.

Luka dotyczy wersji Secure Client dla systemów Linux, macOS oraz Windows i może zostać wykorzystana w atakach polegających na wstrzykiwaniu CRLF. Wstrzykiwanie CRLF to luki w zabezpieczeniach polegające na wstrzykiwaniu przez osoby atakujące znaków CR i LF do aplikacji internetowych, dodające dodatkowe nagłówki lub powodujące ignorowanie przez przeglądarki oryginalnej zawartości. Nieuwierzytelnieni napastnicy mogą zdalnie wykonywać dowolne skrypty lub kraść poufne informacje, takie jak ważne tokeny uwierzytelniające SAML użytkowników, aby nawiązać sesję VPN zdalnego dostępu z uprawnieniami danego użytkownika. Jednak w celu uzyskania pomyślnego dostępu poszczególne hosty i usługi wymagałyby dodatkowych danych uwierzytelniających, jak zauważa Cisco w swoim poradniku.

CVE-2024-20338

Błąd o numerze CVE-2024-20338 (wynik CVSS: 7,3) dotyczy tylko Cisco Secure Client dla systemu Linux i jego pomyślne wykorzystanie wymaga uwierzytelnienia. Może zostać użyty wyłącznie przez uwierzytelnionego lokalnego atakującego. Luka umożliwia atakującemu wykonanie dowolnego kodu na zagrożonym urządzeniu z uprawnieniami roota. Daje możliwość skopiowania złośliwego pliku biblioteki do określonego katalogu i przekonania administratora do ponownego uruchomienia określonego procesu.

Cisco zaleca administratorom przedsiębiorstw uaktualnienie do jednej z poprawionych wersji – wersja 5.1.2.42 aplikacji VPN rozwiązuje problem.

Inne ważne poprawki od Cisco

Gigant technologiczny opublikował również poprawki dla kilku średnio poważnych usterek w kontrolerze AppDynamics i uwierzytelnianiu Duo dla logowania w systemie Windows i RDP, mogących potencjalnie prowadzić do wycieków danych i obejścia dodatkowego uwierzytelniania.

Producent przestrzegł także przed dwiema wadami w bezprzewodowych punktach dostępowych (AP) Cisco Small Business serii 100, 300 i 500, oznaczonych jako CVE-2024-20335 i CVE-2024-20336. Podatności umożliwiają zdalnym atakującym wykonanie dowolnego kodu jako użytkownik root.

Jednak Cisco postanowiło, że nie będzie ich łatać, ponieważ wsparcie dla ich bezprzewodowych punktów dostępowych (Wireless APs) dobiegło już końca. Również wady o średniej wadze pozostaną niezałatane – z tego samego powodu. Co więcej, Cisco zauważa, że nie ma informacji o tym, aby którakolwiek z luk była wykorzystywana w środowisku naturalnym.

W poradniku Cisco podkreśliło potrzebę zachowania czujności i przyjęcia najlepszych praktyk w zakresie bezpieczeństwa. Należą do nich regularne aktualizowanie oprogramowania, używanie silnych haseł i uwierzytelnianie wieloskładnikowe, ostrożność w kontakcie z podejrzanymi linkami oraz korzystanie z godnych zaufania sieci Wi-Fi w przypadku wykonywania wrażliwych połączeń VPN.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...