Cisco AnyConnectに権限昇格の脆弱性 急ぎアップデートの適用を

Cisco AnyConnectに権限昇格の脆弱性が見つかった。同問題はWindows向けソフトウェアに影響を及ぼす。すでに修正済みのバージョンが公開されておりアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2023年6月7日（現地時間）、クラウドセキュリティ製品「Cisco AnyConnect」にローカルのユーザーがSYSTEM権限まで特権昇格できる脆弱（ぜいじゃく）性が存在すると伝えた。

Cisco AnyConnectに脆弱性が見つかった（出典：CiscoのWebサイト）

Cisco AnyConnectに存在する脆弱性の詳細は？

　脆弱性は「CVE-2023-20178」として特定され、共通脆弱性評価システム（CVSS）のスコア値は7.8で深刻度は「重要」（High）に分類されている。

　発見された脆弱性は、アップグレード作業中に作成される一時ディレクトリに不適切なアクセス許可が割り当てられていることが原因だ。サイバー攻撃者は「Windows」のインストーラプロセスにおける特定の機能を利用することでこの脆弱性を悪用でき、攻撃が成功した場合はシステム権限でコードを実行できるようになる。

　同脆弱性の影響を受ける製品は以下の通りだ。

• Cisco AnyConnect Secure Mobility Client Software for Windows
• Cisco Secure Client Software for Windows

　なお「Cisco Secure Client Software for Windows」はバージョン5.0よりも以前のバージョンは「Cisco AnyConnect Secure Mobility Client for Windows」という名称である点にも注意が必要だ。

　脆弱性が修正されたバージョンは以下の通りだ。

• Cisco AnyConnect Secure Mobility Client Software for Windows 4.10MR7
• Cisco Secure Client Software for Windows 5.0MR2

　Ciscoは以下の製品について脆弱性の影響を受けないと報告した。

• Cisco AnyConnect Secure Mobility Client for Linux
• Cisco AnyConnect Secure Mobility Client for macOS
• Cisco Secure Client-AnyConnect for Android
• Cisco Secure Client AnyConnect VPN for iOS
• Cisco Secure Client for Linux
• Cisco Secure Client for macOS

　Ciscoは、同脆弱性を一次的に回避する方法はないとしており、脆弱性を修正した新しいバージョンにアップデートすることを推奨している。なお、サービス契約の有無で修正ソフトウェアの入手方法が異なっている。詳細は「Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability」を参照してほしい。