Cisco VPN-Hijacking-Schwachstelle in sicherer Client-Software gepatcht
Angesichts der jüngsten Ereignisse hat Cisco Patches für zwei Netzwerkschwachstellen mit hohem Schweregrad in seinem Secure Client veröffentlicht. Jüngsten Berichten zufolge werden Schwachstellen, die zur Cisco VPN-Hijacking-Schwachstelle führen, als CVE-2024-20337 und CVE-2024-20338 verfolgt. Diese VPN-Sicherheitslücken haben einen Schweregrad von 8,2 bzw. 7,3.
In diesem Artikel befassen wir uns mit den Feinheiten der Cisco VPN-Hijacking-Schwachstelle, wie sie von Bedrohungsakteuren ausgenutzt werden könnte, und den Patch-Details.
Cisco VPN-Hijacking-Schwachstelle: Grundlegendes zum sicheren Client
Es ist wichtig, den Cisco Secure Client zu verstehen, bevor Sie sich mit den Details des Fehlers befassen, da dies dazu beitragen kann, den Schweregrad des Fehlers genauer zu verstehen.
Der Cisco Secure Client ist ein Sicherheitstool, das sowohl Virtual Private Network (VPN) als auch Zero Trust Network Architecture (ZTNA) sowohl für IT- als auch für Sicherheitsexperten unterstützt. Die Software ist dafür bekannt, dass sie solchen Fachleuten hilft, Sicherheitsendpunkt-Agenten in einer einheitlichen Ansicht zu verwalten und zu skalieren.
Organisationen, die den Secure Client verwenden, können nahtlose VPN-Verbindungen sicherstellen. Darüber hinaus können sie auch erweiterte Endpunktschutzprotokolle über mehrere Kontrollpunkte hinweg bereitstellen. Secure Client kann auch mit anderen Cisco-Lösungen gekoppelt werden, um Unternehmen dabei zu helfen, die Transparenz in Bezug auf die Nutzung von Endpunktanwendungen und das Benutzerverhalten zu erhöhen.
Vor diesem Hintergrund würde die Cisco VPN-Hijacking-Schwachstelle, wenn sie ausgenutzt wird, dazu führen, dass Bedrohungsakteure Fernzugriff erhalten, wodurch sie die Angriffsfläche vergrößern können.
CVE-2024-20337 und CVE-2024-20338 aufgedeckt
Jüngsten Berichten zufolge wurden beide Schwachstellen, die zu der Cisco VPN-Hijacking-Schwachstelle führten , von Paulos Yibelo Mesfin, einem Sicherheitsforscher bei Amazon, entdeckt.
Der Experte für Sicherheitsforschung wurde mit der Aussage zitiert, dass das VPN-Sicherheitslückenpaar , wenn es ausgenutzt wird, Bedrohungsakteuren den Zugriff auf lokale interne Netzwerke ermöglichen würde, wenn der Zielbenutzer eine Website unter ihrer Kontrolle besucht. Jede der Schwachstellen in diesem Paar von VPN-Sicherheitslücken führt zu ähnlichen Konsequenzen für den Endbenutzer, wenn sie ausgenutzt werden.
Die Initiierungsprotokolle variieren jedoch. Zu verstehen, wie die eine oder andere Netzwerkschwachstelle mit hohem Schweregrad ausgenutzt werden kann, ist für die Abwehr von VPN-Hijacking und für die Entwicklung einer robusten Cybersicherheitsstrategie von entscheidender Bedeutung.
CVE-2024-20337
Diese VPN-Sicherheitslücke liegt im SAML-Authentifizierungsprozess des Secure Clients. Wenn diese Netzwerkschwachstelle mit hohem Schweregrad ausgenutzt wird, können Bedrohungsakteure einen CRLF-Injection-Angriff (Carriage Return Line Feed) starten.
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er den Benutzer dazu verleitet, auf einen in böser Absicht erstellten Link zu klicken, während er eine VPN-Sitzung einrichtet. Jüngsten Berichten zufolge könnten Cyberkriminelle die VPN-Sicherheitslücke auch ausnutzen, indem sie beliebigen Skriptcode im Browser ausführen oder auf sensible Informationen, einschließlich eines SAML-Tokens, zugreifen.
Dieses Token wird anschließend verwendet, um eine RAS-VPN-Sitzung einzurichten, in der die Bedrohungsakteure über die Berechtigungen des Zielbenutzers verfügen. Es ist erwähnenswert, dass diejenigen, die Produktversionen ohne den Cisco-Schwachstellen-Patch ausführen, dem Risiko eines Angriffs ausgesetzt sind.
CVE-2024-20338
Im Gegensatz zur vorherigen befindet sich diese Netzwerkschwachstelle mit hohem Schweregrad im Systemscan-Modul für Linux des Secure Client. Bedrohungsakteure können diese Schwachstelle ausnutzen und Berechtigungen erhöhen, die sie auf betroffenen Geräten böswillig erworben haben.
Dies würde es ihnen ermöglichen, die Angriffsfläche zu vergrößern und organisatorische Netzwerke in größerem Umfang zu infiltrieren. Weitere Details finden Sie in einem Auszug aus der Cisco-Sicherheitspatch-Erklärung :
"Diese Schwachstelle ist auf die Verwendung eines unkontrollierten Suchpfadelements zurückzuführen. Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine schädliche Bibliotheksdatei in ein bestimmtes Verzeichnis im Dateisystem kopiert und einen Administrator dazu verleitet, einen bestimmten Prozess neu zu starten. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, beliebigen Code auf einem betroffenen Gerät mit Root-Rechten auszuführen."
Behebung einer Cisco Software-Schwachstelle
Bisher gibt es keine Berichte, dass diese Schwachstellen aktiv in freier Wildbahn ausgenutzt werden. An dieser Stelle ist erwähnenswert, dass die Sicherheitsanfälligkeit Secure Client für Windows, macOS und Linux betrifft.
Was das Cybersecurity-Patch-Management für die Cisco VPN-Hijacking-Schwachstelle betrifft, sind Versionen vor 4.10.04065 nicht gefährdet. Der Secure Client Version 4.10.04065 erhielt später den Cisco Security Patch in Version 4.10.08025. Diejenigen, die die Secure Client-Versionen 5.0 bis 5.1 verwenden, sollten auf 5.1.2.42 migrieren.
Schlussfolgerung
Angesichts der jüngsten Entdeckung kann festgestellt werden, dass der Cisco VPN-Hijacking-Fehler schwerwiegende Folgen haben kann, wie z. B. unbefugten Zugriff auf interne Netzwerke und die Ausführung von Privilegien, wenn er ausgenutzt wird.
Um zu vermeiden, dass sie der Netzwerkschwachstelle mit hohem Schweregrad zum Opfer fallen, sollten Unternehmen den Cisco Security Patch verwenden und fortschrittliche Cybersicherheitsprotokolle implementieren. Dies würde nicht nur den Schutz gewährleisten, sondern ihnen auch helfen, widerstandsfähiger und proaktiver in der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft zu sein.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.