Entwickler haben für Cisco AnyConnect und Secure Client einen Exploit-Code veröffentlicht.
Bei Cisco AnyConnect Secure Mobility Client und Cisco Secure Client für Windows wurde kürzlich eine Schwachstelle entdeckt. Für diese haben Entwickler mehrere Updates veröffentlicht. Es ist dringend erforderlich, die Software zu aktualisieren.
Vor etwa zwei Wochen stellte der Anbieter Patches für eine Schwachstelle in Ciscos AnyConnect Secure Mobility Client und Ciscos Secure Client zu Verfügung. Inzwischen hat der Entdecker der Sicherheitslücke einen Exploit-Code im Internet veröffentlicht, der als Proof-of-Concept (PoC) dient und das Ausnutzen der Lücke veranschaulicht. Verantwortliche der IT sollten die entsprechenden Updates spätestens zum jetzigen Zeitpunkt durchführen.
Bei dieser Sicherheitslücke handelt es sich um eine sogenannte Privilege-Escalation-Lücke, die es Cyberkriminellen ermöglicht, ihre Rechte im System auszuweiten. Durch unzureichend geprüfte Zugriffsrechte auf ein temporäres Verzeichnis, welches während des Update-Vorgangs erstellt wird, könnten Cyberkriminelle eine spezielle Funktion des Windows-Installer-Prozesses ausnutzen, um SYSTEM-Rechte zu erlangen (CVE-2023-20178, CVSS 7.8, Risiko „hoch“). Cisco hat in einer Warnmeldung bekannt gegeben, dass aktualisiert und darauf hingewiesen, dass der Anbieter über den frei verfügbaren Proof-of-Concept-Code für diese Lücke informiert ist.
PoC-Exploit steht zur Verfügung
Der Proof-of-Concept-Exploit steht auf Github zum Download zur Verfügung. Der Ersteller beschreibt dort, wie sich die Schwachstelle ausnutzen lässt, um beliebige Dateien zu löschen und dadurch SYSTEM-Rechte zu erlangen. Den grundlegenden Mechanismus erläutert die Zero-Day-Initiative (ZDI) in einem entsprechenden Artikel.
Die aktualisierten Versionen, in denen die Sicherheitslücke geschlossen wurde, sind Cisco AnyConnect Secure Mobility Client für Windows 4.10MR7 (4.10.07061) oder neuer sowie Cisco Secure Client für Windows 5.0MR2 (5.0.02075) und aktuellere Versionen. Nach Erfahrungen von Experten integrieren Cyberkriminelle nützliche Proof-of-Concept-Exploits schnell in Exploit-Baukästen. Daher wird dringend empfohlen, die Updates jetzt schnellstmöglich herunterzuladen und zu installieren, sofern dies noch nicht geschehen ist.