Varsel: Ældre sårbarheder i Cisco AnyConnect VPN-klient udnyttes i angreb
Cisco advarer om, at to sårbarheder i VPN-klienten Cisco AnyConnect Secure Mobility, som blev lukket i 2020, nu er set brugt i angreb.
To sårbarheder i Cisco AnyConnect Secure Mobility VPN-klienten bliver ifølge Cisco udnyttet i angreb. Det drejer sig om to sårbarheder, som blev lukket med en softwareopdatering i august 2020. Hvis man anvender versioner ældre end version 4.10, bør man derfor sikre sig, at man har opdateret til mindst version 4.9.00086.
Cisco udsendte opdateringer i henholdsvis februar og august 2020 for de to sårbarheder. Cisco har i oktober 2022 opdateret selskabets varsler om sårbarhederne, da de er set brugt i angreb.
Da der er opdateringer tilgængelige, bør man sikre sig, at man anvender en opdateret version af Cisco AnyConnect Secure Mobility. Det vil som minimum sige version 4.9.00086.
Den mest alvorlige af de to sårbarheder giver mulighed for at udnytte Cisco AnyConnect til at udføre vilkårlig, ondsindet programkode. Det forudsætter adgang som en bruger på systemet. Det vil sige, at sårbarheden for eksempel kan aktiveres gennem social engineering, hvor brugeren lokkes til at gøre noget, hvor sårbarheden udnyttes. Eller en angriber skal allerede have fodfæste som en almindelig bruger ved for eksempel at have gyldige login-oplysninger. Sårbarheden gør det muligt at køre programkode med rettigheder som SYSTEM, hvilket i praksis giver fuld kontrol over systemet.
Den anden sårbarhed kan udnyttes til lægge filer på dele af systemet, der er forbeholdt filer med rettigheder på systemniveau. Denne sårbarhed kræver ligeledes, at en bruger er logget ind, eller at hackeren har gyldige login-oplysninger.
Cisco AnyConnect Secure Mobility er en udbredt VPN-klient, som også anvendes flere steder i Danmark. Hvis man anvender klienten, bør man som nævnt sikre sig, at man benytter en opdateret version.
Hvis man har en sårbar version installeret, og man ved, at man ikke længere har behov for den, kan man vælge at afinstallere softwaren. Det kan for eksempel være, hvis man har haft klienten installeret i forbindelse med studie, som nu er afsluttet.
Yderligere oplysninger:
Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability
Cisco AnyConnect Secure Mobility Client for Windows Uncontrolled Search Path Vulnerability
Varsler fra CFCS
CFCS ønsker at give flere danske organisationer et overblik over aktuelle sårbarheder og vil derfor udgive flere varsler på hjemmesiden. Det øgede antal varsler afspejler ikke en konkret ændring i trusselsbilledet.