esenfrdeitptru

Cisco corrige vulnerabilidad de día cero en la VPN AnyConnect, con exploit publicado

AS-045-2021

Fecha: 14/Mayo/2021

Resumen:

Cisco ha solucionado una vulnerabilidad de día cero de hace seis meses, en el software VPN Cisco: AnyConnect Secure Mobility Client, con código de explotación de prueba de concepto disponible públicamente. AnyConnect Secure Mobility Client permite trabajar en dispositivos corporativos conectados a un Secure Virtual Private Network (VPN) a través de Secure Sockets Layer (SSL) e IPsec IKEv2 utilizando clientes VPN disponibles para las principales plataformas móviles y de escritorio.(3)

Mitigación disponible.

Cisco reveló el error de día cero rastreado como CVE-2020-3556 en noviembre de 2020 sin liberar actualizaciones de seguridad, pero proporcionó medidas de mitigación para disminuir la superficie de ataque.(2)

Los clientes que no pueden instalar inmediatamente las actualizaciones de seguridad publicadas ayer, todavía pueden mitigar la vulnerabilidad desactivando la función de actualización automática. (1)

La superficie de ataque también se puede reducir desactivando la configuración Habilitar scripting en los dispositivos donde está habilitada.

Cisco también proporciona las instrucciones detalladas de actualización para los clientes que han aplicado ya las soluciones alternativas recomendadas o no pueden actualizar a las versiones parcheadas.

Hace un año, Cisco advirtió sobre dos vulnerabilidades de día cero explotadas activamente que afectan al Sistema Operativo (IOS) utilizado en sus equipos de red.

La semana pasada, la compañía también corrigió fallas críticas de seguridad de software SD-WAN vManage e HyperFlex HX que podrían permitir a los atacantes remotos crear cuentas de administrador no fiables o ejecutar comandos arbitrarios.(2)

Referencias:

(1)   https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect49/administration/guide/b_AnyConnect_Administrator_Guide_4-9/deploy-anyconnect.html?bookSearch=true#ID-1425-00000455

(2)   https://www.bleepingcomputer.com/news/security/cisco-fixes-6-month-old-anyconnect-vpn-zero-day-with-exploit-code/

(3)   https://securityaffairs.co/wordpress/117855/security/cisco-anyconnect-zero-day.html