Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

23. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie cxSecurity meldet, exisitiert in Cisco's AnyConnect Secure Mobility Client eine Schwachstelle, welche Remote Code Execution ermöglicht.

Beschreibung

Mittels Umlenken eines Users auf eine speziell präparierte Webseite, ist es für einen Angreifer möglich, beim Benutzer Active-X oder Java Komponenten zu starten, welche eigentlich für die Weblaunch-Funktionalität des Cisco AnyConnect Secure Mobility Client notwendig sind. In Kombination mit fehlender Input-Validierung ist es dem Angreifer damit möglich, beliebigen Code mit den Rechten der Browser-Session auf dem Client auszuführen.

Auswirkungen

Da je nach Angriffs-Szenario ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet. Weiters ist es möglich, die Installation des Cisco AnyConnect Secure Mobility Client zu modifizieren und durch ältere bzw. verseuchte Versionen zu ersetzen.

Betroffene Systeme

Cisco AnyConnect Secure Mobility Client 3.0.629
Cisco AnyConnect Secure Mobility Client 3.0
Cisco AnyConnect Secure Mobility Client 2.5.3046
Cisco AnyConnect Secure Mobility Client 2.5.3041
Cisco AnyConnect Secure Mobility Client 2.5

Abhilfe

Cisco hat bereits einen Patch veröffentlicht, der diese Probleme behebt.

Hinweise

Diese Schwachstelle kann nur durch Ausführen von ActiveX-Steuerelementen oder Java-Applets ausgenützt werden, daher empfehlen wir die Sicherheitseinstellungen des Browsers so zu wählen, dass der Benutzer immer gefragt wird ob er das wirklich tun möchte.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

cxSecurity
http://cxsecurity.com/wlb/WLB-2012080192
Cisco Security Advisory
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac