Кибербандиты похищают SAML-токены из Cisco Secure Client

Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к ” data-html=”true” data-original-title=”VPN” >VPN-сессиям целевых пользователей.

Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа “CRLF Injection”, благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.

Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.

Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице .

Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.

Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.

Public Release.