AnyConnect Secure Mobility Client, un logiciel de point de terminaison modulaire, fournit une large gamme de services de sécurité (tels que l'accès à distance, les fonctionnalités de sécurité Web et la protection en itinérance) pour les points de terminaison.

Le défaut pourrait permettre à un attaquant de faire exécuter un script malveillant par un utilisateur AnyConnect ciblé - cependant, pour lancer une attaque, un cybercriminel devrait être authentifié et sur le réseau local. "Pour exploiter cette vulnérabilité avec succès, il doit y avoir une session AnyConnect en cours par l'utilisateur ciblé au moment de l'attaque", selon Cisco. "Pour exploiter cette vulnérabilité, l'attaquant aurait également besoin d'informations d'identification utilisateur valides sur le système sur lequel le client AnyConnect est exécuté."

Selon Cisco, la vulnérabilité existe dans le canal de communication interprocessus (IPC). IPC est un ensemble d'interfaces de programmation qui permet à un programme de traiter plusieurs requêtes d'utilisateurs en même temps. Dans ce cas précis, l'écouteur IPC ne dispose pas d'authentification. "Un attaquant pourrait exploiter cette vulnérabilité en envoyant des messages IPC au client AnyConnect IPC listener", selon Cisco. "Un exploit réussi pourrait permettre à un attaquant de faire exécuter un script par l'utilisateur AnyConnect ciblé. Ce script s'exécuterait avec les privilèges de l'utilisateur AnyConnect ciblé."

Bien qu'il n'y ait aucune solution pour remédier à cette vulnérabilité, une des solutions consiste à désactiver les fonctions de mise à jour automatique et d'activation du script. En effet, une configuration vulnérable nécessite l'activation des paramètres Mise à jour automatique et Activer le script. La mise à jour automatique est activée par défaut, et l'activation du script est désactivée par défaut, a dit Cisco.

Gerbert Roitburd de Secure Mobile Networking Lab (TU Darmstadt) a été crédité d'avoir signalé la vulnérabilité.

Cisco a publié mercredi des mises à jour pour 13 autres CVE de haute gravité sur plusieurs produits. Cela inclut un défaut d'exécution de code arbitraire (CVE-2020-3588) dans l'application de collaboration Webex Meetings Desktop de Cisco, ainsi que trois problèmes d'exécution de code arbitraire (CVE-2020-3573, CVE-2020-3603, CVE-2020-3604) dans son Webex Network Recording Player et son Webex Player.

Des failles liées à sept CVE ont également été découvertes dans Cisco SD-WAN, y compris un bogue de création de fichier (CVE-2020-26071), un défaut d'escalade de privilège (CVE-2020-26074) et un défaut de déni de service (DoS) (CVE-2020-3574).