Luki bezpieczeństwa w Cisco VPN umożliwiają przejęcie kontroli nad połączeniem i wykonanie kodu jako root!

Secure Client jest powszechnie stosowany do ustanawiania bezpiecznych połączeń wirtualnej sieci prywatnej (VPN). Używa go wiele firm na całym świecie (również w Polsce). Wykryto w nim dwa błędy:

• pierwszy (CVE-2024-20337, wynik CVSS: 8,2) odkrył badacz bezpieczeństwa Amazona Paulos Yibelo Mesfin, który tak opisał go na swoim profilu w portalu X:

„Właśnie załatano lukę znalezioną w Cisco AnyConnect. CVE-2024-20337 to potężna luka. Zapewnia zewnętrznym atakującym dostęp do sieci wewnętrznych, gdy użytkownicy sieci odwiedzają witrynę internetową kontrolowaną przez osobę atakującą. Zachowaj czujność!”;

• drugi (CVE-2024-20338, wynik CVSS: 7,3) dotyczy tylko Cisco Secure Client dla systemu Linux i jego pomyślne wykorzystanie wymaga uwierzytelnienia.

W środę 6 marca 2024 r. Cisco ogłosiło aktualizacje luk w zabezpieczeniach i oceniło podatności jako błędy o wysokim stopniu ważności.

CVE-2024-20337 została naprawiona w wersjach 4.10.04065, 4.10.08025, 5.0 i 5.1.2.42.

Obecnie nic nie wskazuje na to, aby którakolwiek z usterek była wykorzystywana przez osoby atakujące, niemniej administratorzy w przedsiębiorstwie powinni szybko dokonać aktualizacji do jednej z poprawionych wersji.

Informacje o podatnościach

CVE-2024-20337

CVE-2024-20337 to luka w zabezpieczeniach polegająca na wstrzykiwaniu sygnału zwrotnego karetki (CRLF), umożliwiająca atakującym wykonanie kodu skryptu lub uzyskanie dostępu do poufnych informacji w przeglądarce, jeśli skonfigurowano ją z funkcją zewnętrznej przeglądarki SAML.

Luka dotyczy wersji Secure Client dla systemów Linux, macOS oraz Windows i może zostać wykorzystana w atakach polegających na wstrzykiwaniu CRLF. Wstrzykiwanie CRLF to luki w zabezpieczeniach polegające na wstrzykiwaniu przez osoby atakujące znaków CR i LF do aplikacji internetowych, dodające dodatkowe nagłówki lub powodujące ignorowanie przez przeglądarki oryginalnej zawartości. Nieuwierzytelnieni napastnicy mogą zdalnie wykonywać dowolne skrypty lub kraść poufne informacje, takie jak ważne tokeny uwierzytelniające SAML użytkowników, aby nawiązać sesję VPN zdalnego dostępu z uprawnieniami danego użytkownika. Jednak w celu uzyskania pomyślnego dostępu poszczególne hosty i usługi wymagałyby dodatkowych danych uwierzytelniających, jak zauważa Cisco w swoim poradniku.

CVE-2024-20338

Błąd o numerze CVE-2024-20338 (wynik CVSS: 7,3) dotyczy tylko Cisco Secure Client dla systemu Linux i jego pomyślne wykorzystanie wymaga uwierzytelnienia. Może zostać użyty wyłącznie przez uwierzytelnionego lokalnego atakującego. Luka umożliwia atakującemu wykonanie dowolnego kodu na zagrożonym urządzeniu z uprawnieniami roota. Daje możliwość skopiowania złośliwego pliku biblioteki do określonego katalogu i przekonania administratora do ponownego uruchomienia określonego procesu.

Cisco zaleca administratorom przedsiębiorstw uaktualnienie do jednej z poprawionych wersji – wersja 5.1.2.42 aplikacji VPN rozwiązuje problem.

Inne ważne poprawki od Cisco

Gigant technologiczny opublikował również poprawki dla kilku średnio poważnych usterek w kontrolerze AppDynamics i uwierzytelnianiu Duo dla logowania w systemie Windows i RDP, mogących potencjalnie prowadzić do wycieków danych i obejścia dodatkowego uwierzytelniania.

Producent przestrzegł także przed dwiema wadami w bezprzewodowych punktach dostępowych (AP) Cisco Small Business serii 100, 300 i 500, oznaczonych jako CVE-2024-20335 i CVE-2024-20336. Podatności umożliwiają zdalnym atakującym wykonanie dowolnego kodu jako użytkownik root.

Jednak Cisco postanowiło, że nie będzie ich łatać, ponieważ wsparcie dla ich bezprzewodowych punktów dostępowych (Wireless APs) dobiegło już końca. Również wady o średniej wadze pozostaną niezałatane – z tego samego powodu. Co więcej, Cisco zauważa, że nie ma informacji o tym, aby którakolwiek z luk była wykorzystywana w środowisku naturalnym.

W poradniku Cisco podkreśliło potrzebę zachowania czujności i przyjęcia najlepszych praktyk w zakresie bezpieczeństwa. Należą do nich regularne aktualizowanie oprogramowania, używanie silnych haseł i uwierzytelnianie wieloskładnikowe, ostrożność w kontakcie z podejrzanymi linkami oraz korzystanie z godnych zaufania sieci Wi-Fi w przypadku wykonywania wrażliwych połączeń VPN.