Кибербандиты похищают SAML-токены из Cisco Secure Client

Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client , которая позволяла злоумышленникам подключаться к VPN -сессиям целевых пользователей.

Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS , позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection» , благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.

Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML , что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.

Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.

Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.

Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.