[Warning] Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

Matthias Fraidl fraidl at cert.at
Thu Aug 23 19:00:58 CEST 2012 

23. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie cxSecurity[1] meldet, exisitiert in Cisco's AnyConnect Secure
Mobility Client eine Schwachstelle, welche Remote Code Execution ermöglicht.

Beschreibung

Mittels Umlenken eines Users auf eine speziell präparierte Webseite, ist
es für einen Angreifer möglich, beim Benutzer Active-X oder Java
Komponenten zu starten, welche eigentlich für die
Weblaunch-Funktionalität des Cisco AnyConnect Secure Mobility Client
notwendig sind. In Kombination mit fehlender Input-Validierung ist es
dem Angreifer damit möglich, beliebigen Code mit den Rechten der
Browser-Session auf dem Client auszuführen.

Auswirkungen

Da je nach Angriffs-Szenario ein Angreifer beliebigen Code auf
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen potentiell gefährdet. Weiters ist es möglich, die Installation
des Cisco AnyConnect Secure Mobility Client zu modifizieren und durch
ältere bzw. verseuchte Versionen zu ersetzen.

Betroffene Systeme

     * Cisco AnyConnect Secure Mobility Client 3.0.629
     * Cisco AnyConnect Secure Mobility Client 3.0
     * Cisco AnyConnect Secure Mobility Client 2.5.3046
     * Cisco AnyConnect Secure Mobility Client 2.5.3041
     * Cisco AnyConnect Secure Mobility Client 2.5

Abhilfe

Cisco hat bereits einen Patch veröffentlicht[2], der diese Probleme
   behebt.

Hinweise

Diese Schwachstelle kann nur durch Ausführen von ActiveX-Steuerelementen
oder Java-Applets ausgenützt werden, daher empfehlen wir die
Sicherheitseinstellungen des Browsers so zu wählen, dass der Benutzer
immer gefragt wird ob er das wirklich tun möchte.
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1. http://cxsecurity.com/wlb/WLB-2012080192
   2.
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac

-- 
// CERT Austria
// Matthias Fraidl <fraidl at cert.at>
// T: +43 1 5056416 718
// http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120823/9b68164a/attachment.sig>

More information about the Warning mailing list