Cisco, Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi’ndeki iki güvenlik açığını hedefleyen aktif istismar girişimlerine ilişkin bir uyarı yayınladı.
Güvenlik açıkları, CVE-2020-3153 (CVSS puanı: 6.5) ve CVE-2020-3433 (CVSS puanı: 7.8) olarak izleniyor ve bu da saldırganın kötü amaçlı dosyaları sistem düzeyinde ayrıcalıklarla rastgele konumlara kopyalamasına olanak tanıyor. Her iki güvenlik açığı da 2020 tarihlidir ve şimdi yamalanmıştır.
CVE-2020-3153 – Windows için Cisco AnyConnect Güvenli Mobilite İstemcisinin Yükleyici Bileşeni
(CVE-2020-3153) olarak izlenen güvenlik açığı, Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi’nin yükleyici bileşeninde bulunur.
Bu, kimliği doğrulanmış bir yerel saldırganın, kullanıcı tarafından sağlanan dosyaları sistem düzeyinde ayrıcalıklarla sistem düzeyinde dizinlere kopyalamasına olanak tanır.
Cisco, bu güvenlik açığının dizin yollarının yanlış işlenmesi nedeniyle oluştuğundan bahseder. Saldırgan, kötü amaçlı bir dosya oluşturup dosyayı bir sistem dizinine kopyalayarak bu güvenlik açığından yararlanabilir.
Buna DLL ön yükleme, DLL kaçırma ve diğer ilgili saldırılar dahildir. Saldırganın bu güvenlik açığından yararlanabilmesi için Windows sisteminde geçerli kimlik bilgilerine ihtiyacı vardır.
Hassas Ürünler
Cisco, bu güvenlik açığının 4.8.02042’den önceki Windows sürümleri için Cisco AnyConnect Güvenli Mobilite İstemcisi’ni etkilediğini söylüyor.
Düzeltme Mevcut
Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi 4.8.02042 ve sonraki sürümleri bu güvenlik açığına yönelik düzeltmeyi içeriyordu.
CVE-2020-3433 – Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi’nin işlemler arası iletişim (IPC) kanalı
Bu güvenlik açığı, kimliği doğrulanmış, yerel bir saldırganın DLL ele geçirme saldırısı gerçekleştirmesine izin veren Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi’nin işlemler arası iletişim (IPC) kanalında bulunur.
“Saldırganın bu güvenlik açığından yararlanabilmesi için Windows sisteminde geçerli kimlik bilgilerine sahip olması gerekir”, Cisco
Kusur, uygulama tarafından çalışma zamanında yüklenen kaynakların yetersiz doğrulanmasından kaynaklanmaktadır. Bu nedenle, bir saldırgan AnyConnect işlemine hazırlanmış bir IPC iletisi göndererek bu güvenlik açığından yararlanabilir.
Hassas Ürünler
Cisco, bu güvenlik açığının, Sürüm 4.9.00086’dan önceki Windows sürümleri için Cisco AnyConnect Güvenli Mobilite İstemcisi’ni etkilediğini söylüyor.
Bu güvenlik açığı aşağıdaki Cisco ürünlerini etkilemez:
- MacOS için AnyConnect Güvenli Mobilite İstemcisi
- Linux için AnyConnect Güvenli Mobilite İstemcisi
- iOS, Android ve Evrensel Windows Platformu gibi mobil cihaz işletim sistemleri için AnyConnect Güvenli Mobilite İstemcisi
Düzeltme Mevcut
Cisco, Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi 4.9.00086 ve sonraki sürümlerinde bu güvenlik açığını giderdi.
Cisco, “Ekim 2022’de Cisco PSIRT, bu güvenlik açığından ek olarak yararlanma girişiminin farkına vardı,” diye uyardı Cisco.
“Cisco, müşterilerin bu güvenlik açığını gidermek için sabit bir yazılım sürümüne yükseltmelerini şiddetle tavsiye etmeye devam ediyor.”
Uyarı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) iki CISCO kusurunu Bilinen Yararlanılan Güvenlik Açıkları kataloğuna ekleme kararının ardından geldi.
Bağlayıcı Operasyonel Yönerge (BOD) 22-01: Bilinen Yararlanılan Güvenlik Açıklarına İlişkin Önemli Riskin Azaltılması’na göre, FCEB kurumları, ağlarını katalogdaki kusurlardan yararlanan saldırılara karşı korumak için belirlenen güvenlik açıklarını son tarihe kadar ele almalıdır.
Cisco, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli bir risk oluşturur”,
Raporlar, federal kurumlara her iki CISCO güvenlik açığını gidermek için 11 Kasım’a kadar üç hafta süre verildiğini söylüyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin