CVE-2020-3153

Cisco AnyConnect Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-10-24

Официальное описание

Cisco AnyConnect Secure Mobility Client for Windows allows for incorrect handling of directory paths. An attacker with valid credentials on Windows would be able to copy malicious files to arbitrary locations with system level privileges. This could include DLL pre-loading, DLL hijacking, and other related attacks.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-3153 представляет собой уязвимость типа Path Traversal (произвольный обход путей) в инсталляторе Cisco AnyConnect Secure Mobility Client для Windows. Проблема заключается в некорректной обработке путей к директориям при работе службы vpnagent.exe.

Злоумышленник, обладающий учетными данными обычного пользователя в системе, может отправить специально сформированный IPC-запрос к службе AnyConnect. Это позволяет скопировать вредоносный файл (например, динамическую библиотеку DLL) в системные директории, доступ к которым обычно ограничен. В результате это приводит к повышению привилегий до уровня NT AUTHORITY\SYSTEM через механизмы DLL Hijacking или DLL Preloading.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление клиента до исправленной версии. Cisco устранила данную брешь в версиях 4.8.02042 и выше.

  1. Определите текущую версию клиента на рабочих станциях:
(Get-Item "${env:ProgramFiles(x86)}\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe").VersionInfo.FileVersion

  1. Загрузите актуальный пакет обновлений (AnyConnect Pre-Deployment Package) с официального сайта Cisco Software Central.

  2. Разверните обновление через консоль Cisco ASA/FTD (Web-Deploy) или с помощью систем управления конфигурациями (SCCM/GPO). Пример команды для тихой установки MSI-пакета:

msiexec.exe /i anyconnect-win-4.x.xxxx-core-vpn-predeploy-k9.msi /qn /norestart
  1. Убедитесь, что после обновления версия клиента соответствует 4.8.02042 или более поздней (например, ветка 4.9.x или 4.10.x).

Временные меры

Если немедленное обновление невозможно, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничьте права пользователей на запись в их собственные временные папки и папки приложений, если это не нарушает работу бизнес-процессов, чтобы затруднить размещение вредоносных DLL.

  2. Настройте аудит создания процессов и мониторинг активности службы vpnagent.exe с помощью Sysmon или других EDR-решений. Обращайте внимание на запись файлов в C:\Windows\System32 или C:\Program Files (x86)\Cisco со стороны процессов AnyConnect.

  3. Используйте AppLocker или Windows Defender Application Control (WDAC) для блокировки запуска неавторизованных DLL:

Set-AppLockerPolicy -XmlPolicy C:\PolicyConfig\GoldImagePolicy.xml
  1. Примените принцип минимальных привилегий, исключив пользователей из группы локальных администраторов, так как уязвимость нацелена именно на локальное повышение прав.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей