Το Exploit κυκλοφόρησε για το σφάλμα Cisco AnyConnect που δίνει προνόμια SYSTEM
Ο κώδικας εκμετάλλευσης απόδειξης της ιδέας είναι πλέον διαθέσιμος για ένα ελάττωμα υψηλής σοβαρότητας στο λογισμικό
Cisco
Secure Client για
Windows
(πρώην AnyConnect Secure Mobility Client) που μπορεί να επιτρέψει στους εισβολείς να αυξήσουν τα προνόμια στο SYSTEM.
Το Cisco Secure Client βοηθά τους υπαλλήλους να εργάζονται από οπουδήποτε χρησιμοποιώντας ένα ασφαλές εικονικό ιδιωτικό δίκτυο (VPN) και παρέχει στους διαχειριστές του δικτύου δυνατότητες τηλεμετρίας και διαχείρισης τελικών σημείων.
Η ευπάθεια (που παρακολουθείται ως CVE-2023-20178) μπορεί να επιτρέψει στους επαληθευμένους παράγοντες απειλών να κλιμακώσουν προνόμια στον λογαριασμό SYSTEM που χρησιμοποιείται από το λειτουργικό σύστημα Windows σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Η επιτυχής εκμετάλλευση απαιτεί κατάχρηση αυτού που η Cisco περιγράφει ως “συγκεκριμένη λειτουργία της διαδικασίας εγκατάστασης των Windows”.
Η Cisco κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση αυτού του σφάλματος ασφαλείας την περασμένη Τρίτη, όταν είπε ότι η Ομάδα Αντιμετώπισης Συμβάντος Ασφάλειας Προϊόντων (PSIRT) δεν είχε στοιχεία κακόβουλης χρήσης ή κώδικα δημόσιας εκμετάλλευσης που στοχεύει το σφάλμα στη φύση.
Το CVE-2023-20178 διορθώθηκε με την κυκλοφορία του AnyConnect Secure Mobility Client για Windows 4.10MR7 και του Cisco Secure Client για Windows 5.0MR2.
Κλιμάκωση προνομίων στο SYSTEM με χρήση του CVE-2023-20178 PoC exploit (Filip Dragović)
Νωρίτερα αυτήν την εβδομάδα, ο κώδικας εκμετάλλευσης proof-of-concept (PoC) δημοσιεύτηκε από τον ερευνητή ασφαλείας Filip Dragović, ο οποίος βρήκε και ανέφερε την ευπάθεια Arbitrary File Delete στη Cisco.
Όπως εξηγεί ο Dragović, αυτό το PoC δοκιμάστηκε έναντι του Cisco Secure Client (δοκιμάστηκε στις 5.0.01242) και του Cisco AnyConnect (δοκιμάστηκε στις 4.10.06079).
“Όταν ένας χρήστης συνδέεται στο vpn, ξεκινά η διαδικασία vpndownloader.exe [the] φόντο, και θα δημιουργήσει [a] κατάλογο στο c:windowstemp με προεπιλεγμένα δικαιώματα [the] παρακάτω μορφή: .tmp”, ο ερευνητής
λέει
.
“Μετά τη δημιουργία αυτού του καταλόγου, το vpndownloader.exe θα ελέγξει εάν αυτός ο κατάλογος είναι κενός και αν δεν είναι, θα διαγράψει όλα τα αρχεία/καταλόγους εκεί. Αυτή η συμπεριφορά μπορεί να γίνει κατάχρηση για την εκτέλεση αυθαίρετης διαγραφής αρχείων ως λογαριασμός NT AuthoritySYSTEM.”
Ο εισβολέας μπορεί στη συνέχεια να δημιουργήσει ένα κέλυφος SYSTEM μέσω αυθαίρετης διαγραφής αρχείων, εκμεταλλευόμενος αυτήν τη συμπεριφορά του προγράμματος εγκατάστασης των Windows και το γεγονός ότι μια διαδικασία ενημέρωσης πελάτη εκτελείται μετά από κάθε επιτυχημένη σύνδεση VPN, χρησιμοποιώντας την τεχνική που περιγράφεται
εδώ
για την κλιμάκωση των προνομίων.
Τον Οκτώβριο, η Cisco προειδοποίησε τους πελάτες να επιδιορθώσουν δύο ακόμη ελαττώματα ασφαλείας του AnyConnect (με δημόσιο κώδικα εκμετάλλευσης και διορθώθηκαν τρία χρόνια πριν) λόγω της ενεργούς εκμετάλλευσης σε επιθέσεις.
Πριν από δύο χρόνια, η Cisco διορθώθηκε ένα AnyConnect zero-day με δημόσιο κωδικό εκμετάλλευσης τον Μάιο του 2021, έξι μήνες μετά την αρχική του αποκάλυψη τον Νοέμβριο του 2020,
