พบช่องโหว่ Poc ที่มีความรุนแรงสูงใน Cisco Secure Client Software
พบช่องโหว่ Poc ที่มีความรุนแรงสูงใน Cisco Secure Client Software
สำหรับ Windows ที่สามารถทำให้ผู้ไม่ประสงค์ดียกระดับสิทธิ์ให้กับ SYSTEM
Cisco Secure Client ช่วยให้พนักงานทำงานได้จากทุกที่โดยใช้ Virtual Private Network (VPN)ที่ปลอดภัย
และให้ผู้ดูแลระบบเครือข่ายด้วย Telemetry เเละ Endpoint Management features
CVE-2023-20178 เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีถูกต้องเพิ่มสิทธิ์ไปยังบัญชี SYSTEM
ที่ใช้โดยระบบปฏิบัติการ Windows ในการโจมตีที่มีความซับซ้อนต่ำ
Cisco อัปเดตเเพทช์เพื่อเเก้ไขช่องโหว่ โดยกล่าวว่า Product Security Incident Response Team (PSIRT) เเต่ยังไม่มีหลักฐานของการใช้งานที่เป็นอันตรายหรือพบการโจมตีโดยใช้ช่องโหว่ดังกล่าว
CVE-2023-20178 ได้รับการแก้ไขด้วยการเปิดตัว AnyConnect Secure Mobility Client สำหรับ Windows 4.10MR7 และ Cisco Secure Client สำหรับ Windows 5.0MR2
นักวิจัยด้านความปลอดภัย Filip Dragović เป็นผู้ค้นพบและรายงานช่องโหว่ Arbitrary File Delete ให้กับ Cisco โดยอธิบายเพิ่มเติมว่า เมื่อผู้ใช้เชื่อมต่อกับ VPN กระบวนการ vpndownloader.exe จะเริ่มต้นและจะสร้างไดเร็กทอรี [a] ใน c:\windows\temp ด้วยสิทธิ์เริ่มต้นในรูปแบบต่อไปนี้ [the]: <random numbers> tmp” หลังจากสร้างไดเร็กทอรีนี้ vpndownloader.exe จะตรวจสอบว่าไดเร็กทอรีนั้นว่างเปล่าหรือไม่ และถ้าไม่มีก็จะลบไฟล์/ไดเร็กทอรีทั้งหมดในนั้น พฤติกรรมนี้อาจถูกนำไปใช้เพื่อทำการลบไฟล์โดยพลการในฐานะบัญชี NT Authority\SYSTEM”
จากนั้นผู้โจมตีสามารถวาง SYSTEM shell ผ่านการลบไฟล์โดยใช้ประโยชน์จากลักษณะการทำงานของโปรแกรมติดตั้ง Windows นี้
Ref: https://www.bleepingcomputer.com/news/security/exploit-released-for-cisco-anyconnect-bug-giving-system-privileges/