Bir güvenlik araştırmacısı, VPN’lere bağlanmak isteyen uzak çalışanlar için Cisco’nun istemci yazılımındaki yeni yamalanmış, yüksek önem düzeyine sahip bir güvenlik açığı için bir kavram kanıtı (POC) istismarı bıraktı.
Hata (CVE-2023-20178), Windows için Cisco AnyConnect Güvenli Mobilite İstemci Yazılımında ve Windows için Cisco Güvenli İstemci Yazılımında bulunan ve kimliği doğrulanmış saldırganların kullanıcı etkileşimi olmadan ayrıcalıkları SİSTEM düzeyine yükseltmesine olanak tanıyan keyfi bir dosya silme güvenlik açığıdır.
Cisco’nun bu ayın başlarında yama danışma belgesinde açıkladığı gibi: “İstemci güncelleme işlemindeki bir güvenlik açığı, düşük ayrıcalıklı, kimliği doğrulanmış, yerel bir saldırganın ayrıcalıkları SİSTEM’in ayrıcalıklarına yükseltmesine izin verebilir. İstemci güncelleme işlemi, başarılı bir VPN bağlantısından sonra yürütülür. kuruldu.”
Güvenlik araştırmacısı Filip Dragović, bu hafta herkese açık bir GitHub gönderisi aracılığıyla tam da bunu yapan bir istismar yayınladı. Bir kullanıcı Cisco Secure veya AnyConnect yazılımını kullanarak bir VPN’ye bağlandığında arka planda başlatılan “vpndownloader.exe” adlı bir işlemi kullanır.
Kusuru ilk keşfeden ve Cisco’ya bildiren Dragović, “c:\ “Bu dizini oluşturduktan sonra, vpndownloader.exe bu dizinin boş olup olmadığını kontrol edecek ve boş değilse, oradaki tüm dosyaları/dizinleri silecektir. Bu davranış, NT Authority\SYSTEM hesabı olarak rasgele dosya silme gerçekleştirmek için kötüye kullanılabilir.”
Bundan sonra, siber saldırganlar, Windows Installer davranışını kötüye kullanmak ve ayrıcalıkları yükseltmek için bir SYSTEM kabuğu oluşturmak için bilinen bir taktiği kullanabilirler.
Kuruluşlar, müşterilerine derhal yama uygulamalıdır – Cisco, yama uygulaması sırasında bilinen bir kötüye kullanım tespit etmemiş olsa da, bu muhtemelen vahşi ortamda dolaşan bir PoC ile hızla değişecektir. Araştırmacıya göre başarılı istismar “karmaşık değil” ve yazılımın, veri açısından zengin VPN oturumlarını ele geçirmek isteyen siber saldırganlar tarafından hedef alınma geçmişi var.