Vulnerabilidade do Cisco AnyConnect é explorada e concede privilégios de sistema
22 de Junho de 2023

O código de exploração de prova de conceito (PoC) agora está disponível para uma falha de alta gravidade no software Cisco Secure Client para Windows (anteriormente conhecido como AnyConnect Secure Mobility Client) que permite que invasores elevem privilégios para o modo SYSTEM.

O Cisco Secure Client ajuda os funcionários a trabalhar de qualquer lugar usando uma Rede Privada Virtual (VPN) segura e fornece aos administradores de rede recursos de gerenciamento de telemetria e endpoints.

A vulnerabilidade (rastreada como CVE-2023-20178 ) permite que atores ameaçadores autenticados aumentem privilégios para a conta SYSTEM usada pelo sistema operacional Windows em ataques de baixa complexidade que não requerem interação do usuário.

A exploração bem-sucedida requer o abuso do que a Cisco descreve como uma "função específica do processo de instalação do Windows".

A Cisco lançou atualizações de segurança para resolver esse bug de segurança na última terça-feira, quando disse que sua Equipe de Resposta a Incidentes de Segurança do Produto (PSIRT) não tinha evidências de uso malicioso ou código de exploração público visando o bug.

CVE-2023-20178 foi corrigido com o lançamento do AnyConnect Secure Mobility Client para Windows 4.10MR7 e do Cisco Secure Client para Windows 5.0MR2.

No início desta semana, o código de exploração de prova de conceito foi publicado pelo pesquisador de segurança Filip Dragović, que encontrou e relatou a vulnerabilidade de Exclusão de Arquivo Arbitrária à Cisco.

Como Dragović explica, essa prova de conceito foi testada no Cisco Secure Client (testado na versão 5.0.01242) e no Cisco AnyConnect (testado na versão 4.10.06079).

"Quando um usuário se conecta à VPN, o processo vpndownloader.exe é iniciado em segundo plano e criará um diretório em c:\windows\temp com permissões padrão no seguinte formato: <números aleatórios>.tmp", diz o pesquisador.

"Depois de criar esse diretório, o vpndownloader.exe verificará se esse diretório está vazio e, se não estiver, excluirá todos os arquivos/diretórios lá.

Esse comportamento pode ser abusado para realizar exclusão de arquivos arbitrários como a conta NT Authority\SYSTEM."

O invasor pode então criar um shell SYSTEM através da exclusão arbitrária de arquivos aproveitando esse comportamento do instalador do Windows e o fato de que um processo de atualização do cliente é executado após cada conexão VPN bem-sucedida, usando a técnica descrita aqui para aumentar privilégios.

Em outubro, a Cisco alertou os clientes para corrigir duas falhas de segurança do AnyConnect (com código de exploração público e corrigidas três anos antes) devido à exploração ativa em ataques.

Dois anos atrás, a Cisco corrigiu uma vulnerabilidade zero-day do AnyConnect com código de exploração público em maio de 2021, seis meses após sua divulgação inicial em novembro de 2020.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...