CVE-2020-3433

Cisco AnyConnect Secure

ВЕРОЯТНОСТЬ 4.5%
Дата обнаружения

2022-10-24

Официальное описание

Cisco AnyConnect Secure Mobility Client for Windows interprocess communication (IPC) channel allows for insufficient validation of resources that are loaded by the application at run time. An attacker with valid credentials on Windows could execute code on the affected machine with SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-3433 — это критическая уязвимость в канале межпроцессного взаимодействия (IPC) клиента Cisco AnyConnect Secure Mobility для Windows. Проблема заключается в недостаточной проверке ресурсов (библиотек), которые приложение загружает во время выполнения.

Локальный аутентифицированный злоумышленник может отправить специально сформированное IPC-сообщение процессу AnyConnect. Это заставляет приложение загрузить произвольную DLL-библиотеку. Поскольку основной сервис AnyConnect работает с максимальными привилегиями, выполнение кода происходит от имени учетной записи SYSTEM, что приводит к полному захвату контроля над рабочей станцией.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление клиента AnyConnect до исправленной версии. Cisco устранила этот дефект в следующих релизах:

  • Если вы используете ветку 4.x, необходимо обновиться до версии 4.9.00086 или выше.
  • Если вы используете ветку 4.8, необходимо обновиться до версии 4.8.03052 или выше.

Для централизованного обновления через ASA (Adaptive Security Appliance) выполните следующие действия:

  1. Загрузите актуальный пакет .pkg с сайта Cisco Software Central.
  2. Загрузите образ на flash-память ASA.
  3. Обновите конфигурацию указанием нового пути к образу:
conf t
webvpn
 anyconnect image disk0:/anyconnect-win-4.9.00086-webdeploy-k9.pkg 1

После этого при следующем подключении пользователи автоматически получат обновление.

Для ручной установки или развертывания через SCCM/Group Policy используйте MSI-пакет:

msiexec.exe /i anyconnect-win-4.9.00086-core-vpn-predeploy-k9.msi /qn /norestart

Временные меры

Для данной уязвимости не существует эффективных программных настроек (workarounds), которые могли бы устранить проблему без обновления исполняемых файлов, так как уязвимость заложена в архитектуре IPC-взаимодействия компонентов.

В качестве мер по снижению риска (Mitigation) до момента обновления рекомендуется:

  • Ограничить права локальных пользователей, чтобы минимизировать возможность запуска вредоносного кода, который может эксплуатировать IPC-канал.
  • Использовать системы класса EDR (Endpoint Detection and Response) для мониторинга подозрительной активности процесса vpnagent.exe и загрузки нетипичных DLL-файлов.
  • Настроить аудит создания процессов и мониторинг командной строки для выявления попыток эксплуатации.

Проверка текущей версии клиента через PowerShell:

get-wmiobject -class win32_product | where-object {$_.Name -like "*AnyConnect*"} | select Name, Version
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей