نرمافزار Cisco Secure Client، که قبلا با نام Cisco AnyConnect Secure Mobility Client شناخته میشد، به کسب و کارها کمک میکند تا قابلیتهای دسترسی به شبکه خود را گسترش دهند و به کارمندان از راه دور اجازه دهند از طریق اتصالات سیمی و بی سیم از جمله VPN به شبکه سازمان متصل شوند و قابلیتهای نظارتی را فراهم کنند. در اوایل ژوئن ، سیسکو یک هشدار امنیتی در مورد CVE-2023-20178 ، یک آسیبپذیری در فرآیند به روزرسانی کلاینت هر دو نرم افزار Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای ویندوز منتشر کرد.
سیسکو هشدار داد :” این آسیبپذیری به این دلیل وجود دارد که مجوزهای نادرست به دایرکتوری موقتی که در طول فرآیند بهروزرسانی ایجاد میشود، اختصاص داده می شود. یک مهاجم میتواند با سوءاستفاده از یک عملکرد خاص از فرآیند نصب ویندوز از این آسیب پذیری سوءاستفاده کند. یک حمله موفق میتواند به مهاجم اجازه دهد تا کد را با امتیازات سیستم اجرا کند.” از آنجا که هیچ راهحلی برای این آسیبپذیری وجود ندارد ، به کاربران توصیه شده است که نرمافزار را در اسرع وقت به روزرسانی کنند.
این نقص تأثیری بر Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای لینوکس و مک و Cisco Secure Client-AnyConnect برای اندروید و iOS ندارد.
PoC بر روی Cisco Secure Client 5.0.01242 و Cisco AnyConnect 4.10.06079 آزمایش شده است. هنگامی که یک کاربر به vpn متصل می شود، فرآیند vpndownloader.exe در پس زمینه شروع می شود و یک دایرکتوری در c:\ windows \ temp با مجوزهای پیش فرض در قالب .tmp ایجاد می کند. پس از ایجاد این دایرکتوری vpndownloader.exe بررسی می کند که آیا این دایرکتوری خالی است یا نه و اگر نباشد، تمام فایل ها و دایرکتوری های موجود در آن را حذف میکند. از این رفتار می توان برای انجام حذف فایل دلخواه به عنوان حساب NT Authority \ SYSTEM سوءاستفاده کرد.
در حالت کلی ، این یک مسئله حذف پوشه دلخواه است که میتواند در طول فرآیند بهروزرسانی نرمافزار، هنگامی که یک پوشه موقت برای ذخیره نسخههای فایلهایی که درحال تغییر هستند ، ایجاد میشود فعال شود، تا در صورت عدم تکمیل فرآیند نصب، امکان بازگشت مجدد وجود داشته باشد.
یک مهاجم که از این پوشه موقت آگاهی دارد، میتواند یک اکسپلویت حاوی یک فایل اجرایی را که برای شروع فرآیند بهروزرسانی طراحی شده است، اجرا کند، اما در اواسط راه، بازگشت به عقب را آغاز کند. در همان زمان، اکسپلویت به طور مداوم سعی میکند محتوای پوشه موقت را با فایلهای مخرب جایگزین کند. هنگامی که فرآیند بهروزرسانی متوقف میشود ، ویندوز سعی میکند فایلهای موجود در پوشه موقت را به محل اصلی خود بازگرداند ، اما به جای آن محتوای مخرب مهاجم را مصرف می کند.
منابع
- 337