Cisco ha risolto una vulnerabilità critica nel suo client VPN per Windows che, se sfruttata, potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario sulla macchina interessata. Anche se la società di hardware di rete continua ad analizzare il difetto, ha rilasciato un aggiornamento che spera possa risolverlo. La vulnerabilità è stata segnalata dai ricercatori di sicurezza di Core Security e, secondo l'avviso, il Cisco Product Security Incident Response Team (PSIRT) non è a conoscenza di alcun uso dannoso della vulnerabilità in natura.
Aggiorna per mitigare
La vulnerabilità, classificata come CVE-2021-1366, è stata scoperta nel canale di comunicazione tra processi (IPC) di AnyConnect Secure Mobility Client per Windows. Utilizza il modulo HostScan, che valuta la conformità di un endpoint per cose come software antivirus e firewall installati sull'host, per avviare un attacco di dirottamento DLL. Cisco ritiene che la ragione di questa debolezza sia una convalida insufficiente delle risorse caricate dal client durante la sua esecuzione. L'attaccante dovrebbe creare e inviare un messaggio IPC al processo AnyConnect, che gli consentirebbe quindi di eseguire codice arbitrario sulla macchina interessata con privilegi elevati. Secondo l'advisory, la vulnerabilità interessa solo la versione Windows del client Cisco AnyConnect Secure Mobility precedente alla v4.9.05042. Inoltre, come accennato in precedenza, ciò riguarderà solo gli utenti che utilizzano il modulo HostScan, non gli utenti che accedono con il modulo ISE Posture. Inoltre, Cisco ha anche confermato che le versioni Linux, macOS, Android e iOS di AnyConnect Secure Mobility Client non sono vulnerabili alla vulnerabilità.