-
09/04/2020
-
85
-
553 bài viết
Xuất hiện PoC cho lỗ hổng leo thang đặc quyền trong Cisco AnyConnect
Đã xuất hiện mã khai thác PoC cho một lỗ hổng nghiêm trọng cao trong phần mềm Cisco Secure Client dành cho Windows (AnyConnect Secure Mobility Client). Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM.
Phần mềm Cisco Secure Client giúp người dùng làm việc từ mọi nơi bằng cách sử dụng Mạng riêng ảo (VPN) an toàn và cung cấp cho quản trị viên mạng các tính năng quản lý từ xa các thiết bị đầu cuối.
Lỗ hổng với mã định danh CVE-2023-20178 có thể cho phép hacker đã xác thực nâng cao đặc quyền lên mức SYSTEM trong các cuộc tấn công có độ phức tạp thấp không yêu cầu tương tác của người dùng. Việc khai thác thành công đòi hỏi hacker phải lợi dụng một "chức năng cụ thể của tiến trình cài đặt Windows".
Cisco đã phát hành các bản cập nhật để giải quyết lỗi này vào thứ ba tuần trước và cho biết hãng chưa phát hiện hành vi khai thác lỗ hổng trong thực tế.
CVE-2023-20178 được khắc phục trong các phiên bản AnyConnect Secure Mobility Client cho Windows 4.10MR7 và Cisco Secure Client cho Windows 5.0MR2.
"Khi người dùng kết nối VPN, tiến trình vpndownloader.exe được chạy ngầm và sẽ tạo ra một thư mục trong c:\windows\temp với các quyền mặc định ở định dạng sau: <số ngẫu nhiên>. tmp," nhà nghiên cứu cho biết.
"Sau khi tạo thư mục này, vpndownloader.exe sẽ kiểm tra xem thư mục đó có trống không. Nếu thư mục không trống, nó sẽ xóa tất cả các tệp/thư mục trong đó. Hành vi này có thể bị lợi dụng để thực hiện xóa tệp tùy ý dưới quyền NT Authority\SYSTEM".
Sau đó, kẻ tấn công có thể tạo shell SYSTEM thông qua việc xóa tệp tùy ý bằng cách lợi dụng hành vi này của trình cài đặt Windows. Do trình cập nhật ứng dụng khách được thực thi sau mỗi kết nối VPN thành công, kỹ thuật này có thể được sử dụng để thực hiện leo thang đặc quyền.
Vào tháng 10/2022, Cisco đã khuyến cáo khách hàng vá hai lỗ hổng an ninh trong AnyConnect do bị khai thác tích cực trong các cuộc tấn công. Hai năm trước, Cisco cũng đã phải phát hành bản vá cho lỗi zero-day trong phần mềm này.
Phần mềm Cisco Secure Client giúp người dùng làm việc từ mọi nơi bằng cách sử dụng Mạng riêng ảo (VPN) an toàn và cung cấp cho quản trị viên mạng các tính năng quản lý từ xa các thiết bị đầu cuối.
Lỗ hổng với mã định danh CVE-2023-20178 có thể cho phép hacker đã xác thực nâng cao đặc quyền lên mức SYSTEM trong các cuộc tấn công có độ phức tạp thấp không yêu cầu tương tác của người dùng. Việc khai thác thành công đòi hỏi hacker phải lợi dụng một "chức năng cụ thể của tiến trình cài đặt Windows".
Cisco đã phát hành các bản cập nhật để giải quyết lỗi này vào thứ ba tuần trước và cho biết hãng chưa phát hiện hành vi khai thác lỗ hổng trong thực tế.
CVE-2023-20178 được khắc phục trong các phiên bản AnyConnect Secure Mobility Client cho Windows 4.10MR7 và Cisco Secure Client cho Windows 5.0MR2.
Lỗ hổng leo thang đặc quyền SYSTEM
PoC khai thác lỗ hổng CVE-2023-20178 (Filip Dragović) đã được thử nghiệm trên phần mềm Cisco Secure Client (5.0.01242) và Cisco AnyConnect (4.10.06079)."Khi người dùng kết nối VPN, tiến trình vpndownloader.exe được chạy ngầm và sẽ tạo ra một thư mục trong c:\windows\temp với các quyền mặc định ở định dạng sau: <số ngẫu nhiên>. tmp," nhà nghiên cứu cho biết.
"Sau khi tạo thư mục này, vpndownloader.exe sẽ kiểm tra xem thư mục đó có trống không. Nếu thư mục không trống, nó sẽ xóa tất cả các tệp/thư mục trong đó. Hành vi này có thể bị lợi dụng để thực hiện xóa tệp tùy ý dưới quyền NT Authority\SYSTEM".
Sau đó, kẻ tấn công có thể tạo shell SYSTEM thông qua việc xóa tệp tùy ý bằng cách lợi dụng hành vi này của trình cài đặt Windows. Do trình cập nhật ứng dụng khách được thực thi sau mỗi kết nối VPN thành công, kỹ thuật này có thể được sử dụng để thực hiện leo thang đặc quyền.
Vào tháng 10/2022, Cisco đã khuyến cáo khách hàng vá hai lỗ hổng an ninh trong AnyConnect do bị khai thác tích cực trong các cuộc tấn công. Hai năm trước, Cisco cũng đã phải phát hành bản vá cho lỗi zero-day trong phần mềm này.
Nguồn: Bleeping Computer