Sicherheitslücke: Exploit-Code für Cisco AnyConnect und Secure Client

Für eine Sicherheitslücke in Ciscos AnyConnect Secure Mobility Client und Ciscos Secure Client jeweils für Windows hat der Hersteller vor rund zwei Wochen Updates veröffentlicht. Der Entdecker der Schwachstelle hat inzwischen Exploit-Code ins Netz gestellt, der als Proof-of-Concept (PoC) das Ausnutzen der Lücke demonstriert. IT-Verantwortliche sollten spätestens jetzt die Aktualisierungen anwenden.

Bei der Lücke handelt es sich um eine sogenannte Privilege-Escalation-Schwachstelle, durch die Angreifer ihre Rechte im System ausweiten können. Aufgrund unangemessener Zugriffsrechte für ein temporäres Verzeichnis, das während des Update-Vorgangs erstellt wird, könnten Angreifer eine spezielle Funktion des Windows-Installer-Prozesses missbrauchen, um an SYSTEM-Rechte zu gelangen (CVE-2023-20178, CVSS 7.8, Risiko "hoch"). Cisco hat die eigene Sicherheitsmeldung jetzt mit dem Hinweis aktualisiert, dass der Hersteller um frei verfügbaren PoC-Code für die Lücke weiß.

Cisco-Lücke: PoC-Exploit verfügbar

Der Proof-of-Concept-Exploit ist auf Github verfügbar. Der Autor beschreibt dort, dass er eine Sicherheitslücke missbraucht, durch die sich beliebige Dateien löschen lassen, um dadurch an SYSTEM-Rechte zu gelangen. Den grundsätzlichen Mechanismus dafür erklärt die Zero-Day-Initiative (ZDI) in einem Blog-Beitrag.

Die fehlerbereinigten Versionen sind Cisco AnyConnect Secure Mobility Client für Windows 4.10MR7 (4.10.07061) oder neuer sowie Cisco Secure Client für Windows 5.0MR2 (5.0.02075) und aktuellere Fassungen. Erfahrungsgemäß bauen Cyberkriminelle für sie nützliche Proof-of-Concept-Exploits zügig in ihre Exploit-Baukästen ein. Daher empfiehlt sich, die Aktualisierungen jetzt rasch herunterzuladen und zu installieren, sollte das noch nicht geschehen sein.

(dmk)