Deux vulnérabilités dans AnyConnect de Cisco sont en fait fermées depuis longtemps. En fait, vous devez mettre à jour le client pour cela. Réellement.

Cisco met en garde contre deux vulnérabilités dans AnyConnect Secure Mobility Client. Les vulnérabilités qui ont été effectivement fermées il y a deux ans sont apparemment toujours activement exploitées. Grâce aux exploits de preuve de concept existants, ce n’est pas non plus un défi.

AnyConnect devrait en fait « travail en toute sécurité » activer

Le fournisseur de réseau Cisco a récemment émis un avertissement concernant deux vulnérabilités de sécurité dans la version Windows d’AnyConnect Secure Mobility Client. Les vulnérabilités activement exploitées permettent aux attaquants d’effectuer des attaques de détournement de DLL. Les opérations de fichiers dans les répertoires système et l’exécution de tout code avec des droits système sont également possibles.

Normalement, le client AnyConnect Secure Mobility doit permettre un travail sécurisé via un VPN (réseau privé virtuel) en connectant les périphériques finaux à un réseau d’entreprise via SSL (Secure Sockets Layer) et IPsec IKEv2.

Les mises à jour sont disponibles depuis 2020

Comme le rapporte BleepingComputer, les attaquants ont besoin d’une authentification pour exploiter les vulnérabilités, mais une combinaison avec des vulnérabilités d’escalade de privilèges est tout à fait possible. Les exploits de preuve de concept correspondants pour les deux vulnérabilités (CVE-2020-3433 et CVE-2020-3153) sont déjà disponibles en ligne.

Cisco a comblé les deux failles de sécurité en 2020 avec des mises à jour pour AnyConnect. Cependant, il semble que certaines entreprises n’aient toujours pas mis à jour. « En octobre 2022, le Cisco PSIRT a pris connaissance de tentatives supplémentaires d’exploitation de cette vulnérabilité dans la nature » met en garde Cisco. Le fournisseur d’équipement réseau »continue de recommander fortement à ses clients de mettre à niveau vers une version logicielle corrigée pour remédier à cette vulnérabilité.« 

CISA met également en garde contre les deux vulnérabilités AnyConnect

La CISA (Cybersecurity and Infrastructure Security Agency) a également inclus les deux vulnérabilités du AnyConnect Secure Mobility Client dans son catalogue de vulnérabilités exploitées connues. En conséquence, en raison de la politique opérationnelle, les agences fédérales américaines disposent désormais d’un délai de grâce de trois semaines pour s’assurer que les vulnérabilités de leur infrastructure ne peuvent plus être exploitées.

CISA recommande également à toutes les autres organisations de fermer les vulnérabilités dans AnyConnect dès que possible. Parce que ces types de vulnérabilités sont « un vecteur d’attaque commun pour les cyberacteurs malveillants et représentent un risque important pour les sociétés fédérales.« 

Pas plus tard qu’en août, Cisco a signalé un incident de sécurité au cours duquel un groupe de rançongiciels a eu accès au réseau de l’entreprise. Les pirates ont piraté l’accès VPN d’un employé.