Bulletins

Apparition d’une faille zero-day dans Cisco AnyConnect VPN

bs1.jpg

Le géant technologique Cisco a découvert et a publié une faille via l’avis CVE-2020-3556, au sujet du canal InterProcess Communication (IPC) du logiciel client Cisco AnyConnect Secure Mobility permettant à un attaquant local authentifié de provoquer un utilisateur AnyConnect ciblé pour exécuter un script malveillant.

La cause principale de cette faille est le manque d’authentification auprès de l’auditeur IPC. Il serait possible à un attaquant d’exploiter ce bug grâce à l’envoi de messages IPC spécialement conçus à l’écouteur IPC du client AnyConnect et pousser l’utilisateur AnyConnect ciblé à exécuter un script. Ce script s’exécuterait avec les privilèges de l’utilisateur AnyConnect ciblé.

Dans le but d’exploiter avec succès cette faille, il doit y avoir une session AnyConnect en cours par l’utilisateur ciblé lors de l’attaque. L’attaquant nécessiterait aussi les informations d’identification d’utilisateur valides sur le système sur lequel le client AnyConnect est exécuté.

La faille affecte l’ensemble des versions du logiciel client Cisco AnyConnect Secure Mobility avec une configuration vulnérable pour les plates-formes citées ci-dessous :

  • Client de mobilité sécurisé AnyConnect pour Linux
  • AnyConnect Secure Mobility Client pour MacOS
  • AnyConnect Secure Mobility Client pour Windows

Les autres produits semblent ne pas être affectés par cette faille. Selon l’équipe de réponse aux incidents de sécurité des produits Cisco, le code d’exploitation de preuve de concept est disponible pour la faille en question. Aucune mise à jour n’a encore été publiée par Cisco pour faire face à cette faille, et la société a déclaré qu’il n’existe aucune solution de contournement permettant de gérer CVE-2020-3556.

Néanmoins, il est possible d’atténuer la menace en désactivant la fonction de mise à jour automatique. S’il n’est pas possible de désactiver la fonctionnalité de mise à jour automatique, le fait de désactiver le paramètre de configuration « activer le script » permet de réduire la surface d’attaque. Cisco a l’intention de corriger cette faille dans une prochaine version du logiciel client Cisco AnyConnect Secure Mobility et publiera prochainement des mises à jour logicielles gratuites pour traiter et corriger cette faille.