Cisco a corrigé une vulnérabilité critique dans son client VPN pour Windows, qui, si elle est exploitée, pourrait permettre à l’attaquant d’exécuter du code arbitraire sur la machine affectée.
Alors même que la société de matériel réseau continue d’analyser la faille, elle a publié une mise à jour qu’elle espère la défaire.
La vulnérabilité a été signalée par des chercheurs en sécurité de Core Security et selon l’avis, l’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’est au courant d’aucune utilisation malveillante de la vulnérabilité dans la nature.
Sommaire
Mettre à jour pour atténuer
La vulnérabilité, classée CVE-2021-1366, a été découverte dans le canal de communication inter-processus (IPC) d’AnyConnect Secure Mobility Client pour Windows.
Il utilise le module HostScan, qui évalue la conformité d’un point de terminaison pour des éléments tels que l’antivirus et le logiciel de pare-feu installé sur l’hôte, pour lancer une attaque de détournement de DLL.
Cisco estime que la raison de cette faiblesse est la validation insuffisante des ressources chargées par le client lors de son exécution. L’attaquant devra créer et envoyer un message IPC au processus AnyConnect, ce qui lui permettrait ensuite d’exécuter du code arbitraire sur la machine affectée avec des privilèges élevés.
Conformément à l’avis, la vulnérabilité affecte uniquement la version Windows du client Cisco AnyConnect Secure Mobility avant la v4.9.05042. De plus, comme mentionné précédemment, cela n’affectera que les utilisateurs qui utilisent le module HostScan, et non ceux qui se connectent avec le module ISE Posture.
En outre, Cisco a également confirmé que les versions Linux, macOS, Android et iOS d’AnyConnect Secure Mobility Client ne sont pas sensibles à la vulnérabilité.
