Cisco ha segnalato la presenza di una vulnerabilità importante nel client software di una sua piattaforma VPN. Si tratta nello specifico di Cisco AnyConnect Secure Mobility Client e di un bug che permetterebbe di lanciare script malevoli sul PC che esegue il client VPN. La vulnerabilità è catalogata come zero-day perché esiste già un exploit pubblicamente disponibile. Ma non sembra che sia concretamente sfruttata in rete.

Il bug di AnyConnect Secure Mobility Client sta nella gestione del canale di interprocess communication (IPC), che risulta vulnerabile in uno scenario piuttosto specifico. Per violare un account su un nodo VPN è infatti necessario che tale account abbia attiva una sessione AnyConnect e che l'attaccante abbia credenziali valide per l'accesso a quel medesimo nodo. Inoltre, AnyConnect Secure Mobility Client deve avere attive le opzioni di Auto Update, che è attiva di default, ed Enable Scripting, che invece è disabilitata di default.

In questo scenario, l'attaccante potrebbe inviare al computer dell'account-bersaglio uno o più script malevoli e farli eseguire con gli stessi privilegi dell'utente colpito. Ciò è possibile perché il client VPN del bersaglio non esegue una autenticazione dell'attaccante, fidandosi del fatto che questi è comunque "riconosciuto" sul computer.

Non ci sono modi per aggirare questa vulnerabilità e Cisco non ha pubblicato una patch specifica. Il problema, che riguarda tutte le versioni desktop del client (Linux, macOS, Windows) ma non quelle mobili (iOS, Android), dovrebbe essere risolto in una prossima versione del client VPN. Per ora la forma migliore di mitigation è disabilitare l'Auto Update. O, se questo non è possibile, disabilitare l'esecuzione degli script.