BDU:2023-04839: Уязвимость VPN-клиента Avira Phantom VPN, средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), позволяющая нарушителю получить доступ к внутреннему трафику сети с произвольного IP-адреса

Описание уязвимости Уязвимость VPN-клиента Avira Phantom VPN, средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client) связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к внутреннему трафику сети с произвольного IP-адреса
Вендор Cisco Systems Inc., Avira Operations GmBH & Co. KG
Наименование ПО AnyConnect Secure Mobility Client, Cisco Secure Client, Avira Phantom VPN
Версия ПО - (AnyConnect Secure Mobility Client), - (Cisco Secure Client), до 2.23.1 включительно (Avira Phantom VPN)
Тип ПО Программное средство защиты, Средство защиты
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux - Не указана
  • Microsoft Corp. Windows - Не указана
  • Apple Inc. Mac OS - Не указана
Тип ошибки Передача секретной информации в виде открытого текста
Идентификатор типа ошибки CWE-319
Класс уязвимости Уязвимость кода
Дата выявления 09.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:N
  • CVSS 3.0: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- отключение разрешений на доступ к локальной сети;
- использование средств межсетевого экранирования с внедрением механизма «белых» списков IP-адресов;
- использование модуля безопасности роуминга Umbrella.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Организационные меры
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются