Cisco AnyConnect Secure Mobility Client pour Windows : Exécution de code via détournement de DLL du module VPN Posture (HostScan)

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2021/ALERTE/004

Date de l’alerte: 19/02/2021

APERÇU :

Libellée CVE-2021-1366, cette vulnérabilité permettrait à un attaquant interne authentifié d’effectuer une attaque par détournement de DLL sur un dispositif affecté, afin d’exécuter du code.

 

DESCRIPTION :

Une vulnérabilité dans le canal de communication interprocessus (IPC) du client Cisco AnyConnect pour Windows permettrait à un attaquant local authentifié d’effectuer une attaque par détournement de DLL sur un dispositif si le module VPN Posture (HostScan) est installé sur le client AnyConnect.

Cette vulnérabilité est due à une validation insuffisante des ressources qui sont chargées par l’application au moment de son exécution. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un message IPC élaboré au processus AnyConnect.

Une exploitation réussie permettrait à l’attaquant d’exécuter du code arbitraire sur la machine affectée avec les privilèges SYSTEME. Pour exploiter cette vulnérabilité, l’attaquant a besoin de paramètres d’identification valides sur le système Windows.

 

IMPACT :

Exécution de code arbitraire sur la machine affectée.

 

SYSTEMES AFFECTÉS :

  • Toutes les versions précédentes à 4.9.05042 et ayant le module VPN Posture (HostScan) installé.

 

MESURES À PRENDRE :

  • Mettre à jour obligatoirement vers la dernière version 4.9.05042

 

REFERENCES :

  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-hijac-JrcTOQMC/
  • https://geekwire.eu/2021/02/17/cve-2021-1366/
  • https://nvd.nist.gov/vuln/detail/CVE-2021-1366/
Partagez sur vos réseaux.