Cisco, Cisco Secure Client (eski adıyla AnyConnect Secure Mobility Client) yazılımında bulunan ve saldırganların ayrıcalıkları işletim sistemi tarafından kullanılan SYSTEM hesabına yükseltmesine izin verebilecek yüksek önem düzeyine sahip bir güvenlik açığını düzeltti.
Cisco Secure Client, çalışanların güvenli bir Sanal Özel Ağ (VPN) aracılığıyla her yerden çalışmasına olanak tanır ve yöneticilere uç nokta yönetimi ve telemetri özellikleri sağlar.
Düşük ayrıcalıklı, yerel saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu güvenlik açığından (CVE-2023-20178 olarak izlenir) yararlanabilir.
Cisco, “Bu güvenlik açığı, yükseltme işlemi sırasında oluşturulan geçici bir dizine uygunsuz izinler atandığı için var” diyor.
“Bir saldırgan, Windows yükleyici işleminin belirli bir işlevini kötüye kullanarak bu güvenlik açığından yararlanabilir.”
Hata, Windows 4.10MR7 için AnyConnect Güvenli Mobilite İstemcisi ve Windows 5.0MR2 için Cisco Güvenli İstemci’de düzeltildi.
Cisco’ya göre CVE-2023-20178, aşağıdaki macOS, Linux ve mobil ürünleri etkilemez:
- Linux için Cisco AnyConnect Güvenli Mobilite İstemcisi
- MacOS için Cisco AnyConnect Güvenli Mobilite İstemcisi
- Android için Cisco Güvenli İstemci-AnyConnect
- iOS için Cisco Güvenli İstemci AnyConnect VPN
- Linux için Cisco Güvenli İstemci
- MacOS için Cisco Güvenli İstemci
Aktif istismar belirtisi yok
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), hatayı hedef alan vahşi veya genel istismar kodunda kötü amaçlı kullanıma dair herhangi bir kanıt henüz bulamadı.
Ekim ayında Cisco, vahşi istismar nedeniyle müşterilerini diğer iki AnyConnect güvenlik açığını – genel istismar koduyla ve üç yıl önce ele alınarak – düzeltmeleri konusunda uyardı.
Açıklar (CVE-2020-3433 ve CVE-2020-3153), tehdit aktörlerinin, diğer ayrıcalık yükseltme kusurlarıyla zincirlendiğinde SİSTEM ayrıcalıklarına sahip hedeflenen Windows cihazlarında rasgele kod yürütmesine izin verir.
CISA’nın ayrıca istismar edilen bilinen hatalar listesine eklerken söylediği gibi, “bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.”
İki yıl önce Cisco, Kasım 2020’de açıklandığında saldırı yüzeyini azaltmak için hafifletme önlemleri sağladıktan sonra, Mayıs 2021’de altı aylık bir gecikmeyle bir AnyConnect sıfır günü (CVE-2020-3556) genel istismar koduyla yama yaptı.