云安全日报210513：思科AnyConnect安全客户端发现任意代码执行漏洞，需要尽快升级

原标题：云安全日报210513：思科AnyConnect安全客户端发现任意代码执行漏洞，需要尽快升级

AnyConnect是思科推出的VPN安全客户端，AnyConnect主要作用是方便员工在任何设备上安全地办公。无论员工无论身处何地，AnyConnect都可以让员工使用公司笔记本电脑或个人移动设备照常工作。AnyConnect 可简化安全终端访问，并提供必要的安全措施确保组织受到持续保护。现阶段已有Windows、Android、iOS、OS X、Ubuntu、WebOS等操作系统的客户端。

根据思科(Cisco)5月12日安全公告显示，思科AnyConnect安全移动客户端发现任意代码执行漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK

CVE-2020-3556 CVSS评分：7.3 高

Cisco AnyConnect安全移动客户端软件的进程间通信（IPC）通道中的漏洞可能允许经过身份验证的本地攻击者诱使目标AnyConnect用户执行恶意脚本。

该漏洞是由于缺乏对IPC侦听器的身份验证所致。攻击者可以通过将精心制作的IPC消息发送到AnyConnect客户端IPC侦听器来利用此漏洞。成功利用此漏洞可能使攻击者导致目标AnyConnect用户执行脚本。该脚本将以目标AnyConnect用户的特权执行。

注意：若要成功利用此漏洞，攻击者将需要满足以下所有条件：

1.目标用户在其上运行AnyConnect客户端的系统上的有效用户凭据。

2.在目标用户建立活动的AnyConnect会话或建立新的AnyConnect会话时登录该系统。

3.能够在该系统上执行代码。

受影响产品

如果以下平台的配置易受攻击，则此漏洞会影响以下平台的所有版本早于4.10.00093的Cisco AnyConnect安全移动客户端软件版本：

Windows版AnyConnect安全移动客户端

适用于MacOS的AnyConnect安全移动客户端

适用于Linux的AnyConnect安全移动客户端

以下小节介绍了如何确定Cisco AnyConnect Secure Mobility Client软件特定版本的漏洞。在终端计算机上运行的Cisco AnyConnect安全移动客户端软件的版本确定用户必须检查哪些配置。

以下小节中讨论的配置设置位于AnyConnectLocalPolicy.xml文件中。该文件位于以下位置：

Windows：：\ ProgramData \ Cisco \ Cisco AnyConnect安全移动客户端\

macOS：/ opt / cisco / anyconnect /

Linux：/ opt / cisco / anyconnect /

Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.05042和4.9.06037

如果将RestrictScriptWebDeploy设置为默认值false ，则本通报中描述的漏洞会影响Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.0045042和4.9.06037。

解决方案

思科官方目前已发布新的解决办法来修复此漏洞(更多修复细节,请访问官网):

1.思科AnyConnect安全移动客户端软件版本4.10.00093

先前已应用变通办法的系统的升级说明本节仅与先前应用4.9.04053、4.9.504504或4.9.06037版本的变通方法设置或早于4.9.04053版本的缓解设置的客户相关。如果以前未使用此通报中列出的解决方法或缓解措施，请使用常规升级过程。

2.Cisco AnyConnect安全移动客户端软件版本4.9.04053、4.9.05042和4.9.06037对于已经应用RestrictScriptWebDeploy解决方法的客户

对于使用4.9.04053、4.9.05042或4.9.06037版本的客户，他们已经应用了RestrictScriptWebDeploy，RestrictHelpWebDeploy，RestrictResourceWebDeploy，RestrictLocalizationWebDeploy解决方法，则无需采取进一步措施来帮助确保防止利用此漏洞。

要恢复全部功能的产品，客户应该升级到版本4.10.00093和应用中所示的推荐设置的建议部分。恢复全部功能后，客户可以再次从头端部署文件，而无需使用带外部署方法。

3.对于无法升级到版本4.10.00093或更高版本的客户

对于使用4.9.04053、4.9.05042或4.9.06037的客户无法升级到4.10.00093或更高版本的客户，建议这些版本的解决方法是编辑AnyConnectLocalPolicy.xml文件，将RestrictScriptWebDeploy设置为true，并确保BypassDownloader设置为false。然后，将使用带外部署方法将新的AnyConnectLocalPolicy.xml文件部署到终端计算机。

对于增强保护，强烈建议版本4.9.04053、4.9.05042和4.9.06037的其他配置设置。完整的自定义网络部署限制集如下所示。有关新配置设置及其使用含义的更多详细信息，请参阅发行说明或Cisco Bug ID CSCvw48062。这些设置将允许配置文件更新和将来的软件升级，同时有助于防止利用此漏洞。

4.版本4.9.04053之前的Cisco AnyConnect安全移动客户端软件对于已应用BypassDownloader缓解措施的客户

对于使用版本4.9.04053之前的版本且已应用BypassDownloader缓解措施的客户，无需采取进一步措施来启用防止利用此漏洞的保护。因为这种缓解不建议，客户可以升级到版本4.10.00093和应用中所示的推荐设置的建议部分。

查看更多漏洞信息 以及升级修复请访问官网：

https://tools.cisco.com/security/center/publicationListing.x