Origine: bjCSIRT
Numéro: 2021/ALERTE/004
Date de l’alerte: 19/02/2021
APERÇU :
Libellée CVE-2021-1366, cette vulnérabilité permettrait à un attaquant interne authentifié d’effectuer une attaque par détournement de DLL sur un dispositif affecté, afin d’exécuter du code.
DESCRIPTION :
Une vulnérabilité dans le canal de communication interprocessus (IPC) du client Cisco AnyConnect pour Windows permettrait à un attaquant local authentifié d’effectuer une attaque par détournement de DLL sur un dispositif si le module VPN Posture (HostScan) est installé sur le client AnyConnect.
Cette vulnérabilité est due à une validation insuffisante des ressources qui sont chargées par l’application au moment de son exécution. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un message IPC élaboré au processus AnyConnect.
Une exploitation réussie permettrait à l’attaquant d’exécuter du code arbitraire sur la machine affectée avec les privilèges SYSTEME. Pour exploiter cette vulnérabilité, l’attaquant a besoin de paramètres d’identification valides sur le système Windows.
IMPACT :
Exécution de code arbitraire sur la machine affectée.
SYSTEMES AFFECTÉS :
- Toutes les versions précédentes à 4.9.05042 et ayant le module VPN Posture (HostScan) installé.
MESURES À PRENDRE :
- Mettre à jour obligatoirement vers la dernière version 4.9.05042
REFERENCES :
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-hijac-JrcTOQMC/
- https://geekwire.eu/2021/02/17/cve-2021-1366/
- https://nvd.nist.gov/vuln/detail/CVE-2021-1366/