Cisco warns admins to patch AnyConnect flaw exploited in attacks
2022/10/25 BleepingComputer — 今日に Cisco は、Cisco AnyConnect Secure Mobility Client for Windows に存在する、2つの脆弱性が悪用されているとして、顧客に警告を発した。AnyConnect Secure Mobility Clientは、企業のエンドポイントへの安全なアクセスを簡素化し、SSL (Secure Sockets Layer) と IPsec IKEv2 を通じて、あらゆるロケーションからの安全な VPN 接続を提供するものである。
これらの2つの脆弱性 CVE-2020-3433/CVE-2020-3153 は、ローカル攻撃者に対して、システムレベル特権での DLL ハイジャック攻撃および、システム・ディレクトリへのファイル・コピーを許すものである。
この脆弱性の悪用に成功した攻撃者は、対象となる Windows デバイス上で SYSTEM 権限を使用して、任意のコードを実行できる。
幸いなことに、どちらの脆弱性も、攻撃者がシステム上に有効な認証情報を持っていることが必要であるという条件が付く。 しかし、これらの脆弱性は、Windows の特権昇格の欠陥と連鎖する可能性があり、すでに2つの CVE に対する PoC エクスプロイトがオンラインで利用可能であるため、注意が必要となる [1, 2]。
2020年にパッチ適用されてから2年後にあたる今日になって、Cisco はセキュリティ・アドバイザリを更新し、管理者に対して脆弱なソフトウェアを更新し、進行中の攻撃をブロックするよう求めた。
Cisco は、「2022年10月に Cisco PSIRT は、この脆弱性を悪用する試みが、野放し状態になっていることを確認して。Cisco は引き続き、この脆弱性を修正するために、顧客に対して最新のソフトウェア・リリースへのアップグレードを、強く推奨している」と警告している。
CISA の攻撃で悪用されるバグのリストに追加
この警告は、月曜日に Cybersecurity and Infrastructure Security Agency (CISA) が、この2つの脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したことを確認するものでもある。
CISA の KEV リストに追加されると、すべての連邦民間行政機関 (FCEB) 機関は、2021年11月に発行された拘束力のある運用指令 (BOD 22-01) により、パッチまたは緩和策の適用が義務付けられる。
それぞれの連邦政府機関には、11月11日までの3週間が与えられ、現在進行中の悪用アクティビティを確実に阻止することが求められる。
CISA が昨日に付け加えたように、この種の脆弱性は、悪意のサイバー・アクターが頻繁に用いる攻撃ベクターであり、連邦政府企業にとって大きなリスクとなる。
BOD 22-01 は米国の FCEB 機関だけに適用されるものだが、CISA は世界中の全ての組織に対して、このセキュリティ・バグに優先的にパッチを当てるよう強く要請している。
この2つの脆弱性 CVE-2020-3433/CVE-2020-3153 は、10月24日付で CISA KEV に追加されたので、それを受けて、Cisco がアドバイザリを更新したという流れなのでしょう。CISA が KEV をスタートしてから、そろそろ1年になりますが、その影響力は次第に強まっているようです。なお、文中にある運用指令 (BOD 22-01) は、10月4日の「CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化」にあるように、2023年4月3日に発効されるとのことです。
IoT OT Security News 
You must be logged in to post a comment.