Η Cisco διορθώνει το σφάλμα AnyConnect παρέχοντας προνόμια SYSTEM των Windows

Η

Cisco

διόρθωσε μια ευπάθεια υψηλής σοβαρότητας που βρέθηκε στο λογισμικό Cisco Secure Client (πρώην AnyConnect Secure Mobility Client) που μπορεί να επιτρέψει στους εισβολείς να κλιμακώσουν τα δικαιώματα στον λογαριασμό SYSTEM που χρησιμοποιείται από το λειτουργικό σύστημα.

Το Cisco Secure Client επιτρέπει στους υπαλλήλους να εργάζονται από οπουδήποτε μέσω ενός ασφαλούς εικονικού ιδιωτικού δικτύου (VPN) και παρέχει στους διαχειριστές δυνατότητες διαχείρισης τελικού σημείου και τηλεμετρίας.

Οι τοπικοί εισβολείς με χαμηλά προνόμια μπορούν να εκμεταλλευτούν αυτό το ελάττωμα ασφαλείας (που παρακολουθείται ως CVE-2023-20178) σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.

“Αυτή η ευπάθεια υπάρχει επειδή εκχωρούνται ακατάλληλα δικαιώματα σε έναν προσωρινό κατάλογο που δημιουργείται κατά τη διαδικασία αναβάθμισης”, λέει η Cisco.

“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια κάνοντας κατάχρηση μιας συγκεκριμένης λειτουργίας της διαδικασίας εγκατάστασης των

Windows

.”

Το σφάλμα διορθώθηκε στο AnyConnect Secure Mobility Client για Windows 4.10MR7 και στο Cisco Secure Client για Windows 5.0MR2.

Σύμφωνα με τη Cisco, το CVE-2023-20178 δεν επηρεάζει τα ακόλουθα προϊόντα

macOS

, Linux και κινητών:

• Cisco AnyConnect Secure Mobility Client για Linux
• Cisco AnyConnect Secure Mobility Client για MacOS
• Cisco Secure Client-AnyConnect για
  
  Android
  
• Cisco Secure Client AnyConnect VPN για iOS
• Cisco Secure Client για Linux
• Cisco Secure Client για MacOS

Κανένα σημάδι ενεργητικής εκμετάλλευσης

Η Ομάδα Αντιμετώπισης Συμβάντος Ασφάλειας Προϊόντων (PSIRT) της εταιρείας δεν έχει βρει ακόμη στοιχεία για κακόβουλη χρήση στον άγριο ή δημόσιο κώδικα εκμετάλλευσης που στοχεύει το σφάλμα.

Τον Οκτώβριο, η Cisco προειδοποίησε τους πελάτες να επιδιορθώσουν δύο άλλα ελαττώματα ασφαλείας του AnyConnect—με δημόσιο κώδικα εκμετάλλευσης και αντιμετωπίστηκαν πριν από τρία χρόνια—λόγω εκμετάλλευσης στην άγρια ​​φύση.

Τα σφάλματα (CVE-2020-3433 και CVE-2020-3153) επιτρέπουν στους παράγοντες απειλών να εκτελούν αυθαίρετο κώδικα σε στοχευμένες συσκευές Windows με προνόμια SYSTEM όταν συνδέονται με άλλα ελαττώματα κλιμάκωσης προνομίων.

Ως CISA επίσης

είπε

όταν τα προσθέτει στη λίστα με τα γνωστά σφάλματα που εκμεταλλεύονται, “αυτοί οι τύποι τρωτών σημείων αποτελούν συχνό φορέα επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικό κίνδυνο για την ομοσπονδιακή επιχείρηση.”

Πριν από δύο χρόνια, η Cisco διορθώθηκε ένα AnyConnect zero-day (CVE-2020-3556) με δημόσιο κωδικό εκμετάλλευσης τον Μάιο του 2021 με έξι μήνες καθυστέρηση αφού παρείχε μέτρα μετριασμού για τη μείωση της επιφάνειας επίθεσης όταν αποκαλύφθηκε τον Νοέμβριο του 2020.