Cisco fixes 6-month-old AnyConnect VPN zero-day with exploit code
2021/05/13 BleepingComputer — Cisco の VPN である AnyConnect Secure Mobility Client で見つかった、6ヶ月前のゼロデイ脆弱性が、PoC エクスプロイト・コードとともにアップデートされた。Cisco AnyConnect Secure Mobility Client は、主要なデスクトップ/モバイル・プラットフォーム向けの VPN クライアントから、SSL (Secure Sockets Layer) および IPsec IKEv2 を介して、エンタープライズ VPN 接続を実現するものだ。
Cisco は 2020年11月に、CVE-2020-3556 として追跡されているゼロデイバグを公開したが、セキュリティ・アップデートはリリースされず、緩和策のみが提供されていた。Cisco Product Security Incident Response Team (PSIRT) は、今回の CVE-2020-3556 PoC エクスプロイト・コードは利用可能としているが、現実に攻撃が生じている証拠はないとも付け加えている。Cisco AnyConnect Secure Mobility Client Software 4.10.00093 未満が、この脆弱性の対象となっている。新バージョンである 4.10.00093 は、スクリプト/ヘルプ/リソース/ローカライズに関する更新を、ローカルポリシーを用いて個別に設定する機能を導入している。
この記事は、公開されたセキュリティ・アップデートをすぐにインストールできないユーザーのために、自動更新機能をオフにすることで、この脆弱性を軽減する方法も提供しています。Enable Scripting という設定が有効になっているデバイスでは、この設定を無効にすることで、攻撃対象を減らすことができます。Cisco は、SD-WAN vManage と HyperFlex HX における重大なセキュリティ欠陥も修正しています。それにより、リモート攻撃者による不正な管理者アカウントの作成および、root 権限での任意のコマンド実行に、対応しているとのことです。
IoT OT Security News 