AnyConnect VPN: Cisco schließt sechs Monate alte Zero-Day-Lücke
Admins sollten Cisco AnyConnect zügig auf den aktuellen Stand bringen.
Sechs Monate hat es gedauert, bis der Netzwerkausrüster Cisco eine Sicherheitslücke in AnyConnect Secure Mobility geschlossen hat. Exploit-Code ist seit November 2020 in Umlauf. Eigenen Angaben zufolge hat Cisco bislang keine Attacken beobachtet.
AnyConnect kommt in vielen Unternehmen zum Einsatz, damit Mitarbeiter über eine VPN-Verbindung auf Firmencomputer zugreifen können. Nutzen Angreifer die Lücke (CVE-2020-3556 "hoch") erfolgreich aus, könnten sie eigene Skripte mit den Rechten des Opfers ausführen.
Damit Attacken klappen, müssen lokale Angreifer unter anderem über gültige Zugangsdaten verfügen. Davon sind ausschließlich die Clients unter Linux, macOS und Windows betroffen. Android und iOS sind von der Lücke nicht bedroht. Cisco AnyConnect 4.10.00093 ist gepatcht. In der Warnmeldung finden Admins weitere Informationen zu möglichen Angriffsszenarien und Workarounds, um Systeme abzusichern.
(des)
