AnyConnect是思科推出的VPN安全客户端,AnyConnect主要作用是方便员工在任何设备上安全地办公。无论员工无论身处何地,AnyConnect都可以让员工使用公司笔记本电脑或个人移动设备照常工作。AnyConnect 可简化安全终端访问,并提供必要的安全措施确保组织受到持续保护。现阶段已有Windows、Android、iOS、OS X、Ubuntu、WebOS等操作系统的客户端。
根据思科(Cisco)5月12日安全公告显示,思科AnyConnect安全移动客户端发现任意代码执行漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK
CVE-2020-3556 CVSS评分:7.3 高
Cisco AnyConnect安全移动客户端软件的进程间通信(IPC)通道中的漏洞可能允许经过身份验证的本地攻击者诱使目标AnyConnect用户执行恶意脚本。
该漏洞是由于缺乏对IPC侦听器的身份验证所致。攻击者可以通过将精心制作的IPC消息发送到AnyConnect客户端IPC侦听器来利用此漏洞。成功利用此漏洞可能使攻击者导致目标AnyConnect用户执行脚本。该脚本将以目标AnyConnect用户的特权执行。
注意:若要成功利用此漏洞,攻击者将需要满足以下所有条件:
1.目标用户在其上运行AnyConnect客户端的系统上的有效用户凭据。
2.在目标用户建立活动的AnyConnect会话或建立新的AnyConnect会话时登录该系统。
3.能够在该系统上执行代码。
受影响产品
如果以下平台的配置易受攻击,则此漏洞会影响以下平台的所有版本早于4.10.00093的Cisco AnyConnect安全移动客户端软件版本:
Windows版AnyConnect安全移动客户端
适用于MacOS的AnyConnect安全移动客户端
适用于Linux的AnyConnect安全移动客户端
以下小节介绍了如何确定Cisco AnyConnect Secure Mobility Client软件特定版本的漏洞。在终端计算机上运行的Cisco AnyConnect安全移动客户端软件的版本确定用户必须检查哪些配置。
以下小节中讨论的配置设置位于AnyConnectLocalPolicy.xml文件中。该文件位于以下位置:
Windows:<DriveLetter>: ProgramData Cisco Cisco AnyConnect安全移动客户端
macOS:/ opt / cisco / anyconnect /
Linux:/ opt / cisco / anyconnect /
Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.05042和4.9.06037
如果将RestrictscriptWebDeploy设置为默认值false ,则本通报中描述的漏洞会影响Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.0045042和4.9.06037。
解决方案
思科官方目前已发布新的解决办法来修复此漏洞(更多修复细节,请访问官网):
1.思科AnyConnect安全移动客户端软件版本4.10.00093
先前已应用变通办法的系统的升级说明本节仅与先前应用4.9.04053、4.9.504504或4.9.06037版本的变通方法设置或早于4.9.04053版本的缓解设置的客户相关。如果以前未使用此通报中列出的解决方法或缓解措施,请使用常规升级过程。
2.Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.05042和4.9.06037对于已经应用RestrictscriptWebDeploy解决方法的客户
对于使用4.9.04053、4.9.05042或4.9.06037版本的客户,他们已经应用了RestrictscriptWebDeploy,RestrictHelpWebDeploy,RestrictResourceWebDeploy,RestrictLocalizationWebDeploy解决方法,则无需采取进一步措施来帮助确保防止利用此漏洞。
要恢复全部功能的产品,客户应该升级到版本4.10.00093和应用中所示的推荐设置的建议部分。恢复全部功能后,客户可以再次从头端部署文件,而无需使用带外部署方法。
3.对于无法升级到版本4.10.00093或更高版本的客户
对于使用4.9.04053、4.9.05042或4.9.06037的客户无法升级到4.10.00093或更高版本的客户,建议这些版本的解决方法是编辑AnyConnectLocalPolicy.xml文件,将RestrictscriptWebDeploy设置为true,并确保BypassDownloader设置为false。然后,将使用带外部署方法将新的AnyConnectLocalPolicy.xml文件部署到终端计算机。
对于增强保护,强烈建议版本4.9.04053、4.9.05042和4.9.06037的其他配置设置。完整的自定义网络部署限制集如下所示。有关新配置设置及其使用含义的更多详细信息,请参阅发行说明或Cisco Bug ID CSCvw48062。这些设置将允许配置文件更新和将来的软件升级,同时有助于防止利用此漏洞。
4.版本4.9.04053之前的Cisco AnyConnect安全移动客户端软件对于已应用BypassDownloader缓解措施的客户
对于使用版本4.9.04053之前的版本且已应用BypassDownloader缓解措施的客户,无需采取进一步措施来启用防止利用此漏洞的保护。因为这种缓解不建议,客户可以升级到版本4.10.00093和应用中所示的推荐设置的建议部分。
查看更多漏洞信息 以及升级修复请访问官网:
https://tools.cisco.com/security/center/publicationListing.x