In der Cisco AnyConnect Secure Mobility Client Software gibt es eine Schwachstelle, über die Angreifer sich SYSTEM-Privilegien unter Windows verschaffen können. Nun ist ein Proof of Concept für einen Exploit zum Ausnutzen dieser Schwachstelle (CVE-2023-20178) verfügbar.
Der Cisco AnyConnect Secure Mobility Client ermöglicht Remote-Mitarbeitern den reibungslosen, sicheren Zugriff auf das Unternehmensnetzwerk per VP, von jedem Gerät, jederzeit und von überall und schützt gleichzeitig Ihr Unternehmen, wirbt der Hersteller. Inzwischen vermarket Cisco die Lösung als “Cisco Secure Client”.
Die Schwachstelle CVE-2023-20178
Zum 7. Juni 2023 hatte Cisco die Sicherheitswarnung Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability zur Schwachstelle CVE-2023-20178 veröffentlicht. Im Dokument heißt es:
Eine Schwachstelle im Client-Aktualisierungsprozess der Cisco AnyConnect Secure Mobility Client Software für Windows und der Cisco Secure Client Software für Windows könnte es einem wenig privilegierten, authentifizierten, lokalen Angreifer ermöglichen, seine Privilegien auf die von SYSTEM zu erhöhen. Der Client-Aktualisierungsprozess wird ausgeführt, nachdem eine erfolgreiche VPN-Verbindung hergestellt wurde.
Diese Sicherheitsanfälligkeit besteht, weil einem temporären Verzeichnis, das während des Aktualisierungsprozesses erstellt wird, falsche Berechtigungen zugewiesen werden. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine bestimmte Funktion des Windows-Installationsprozesses missbraucht. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, Code mit SYSTEM-Rechten auszuführen.
Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds (außer dem Update des Clients), die diese Sicherheitslücke beheben. Details zu betroffenen Produkten finden sich im Sicherheitshinweise von Cisco.
Proof of Concept für Exploit
Auf Github hat ein Nutzer mit dem Alias Wh04m100 nun ein Proof of Concept (PoC) zur Ausnutzung der obigen Schwachstelle CVE-2023-20178 veröffentlicht. Er schreibt, dass der PoC für das löschen einer beliebigen Datei verwendet werden kann. Getestet wurde es mit dem Cisco Secure Client 5.0.01242 und Cisco AnyConnect 4.10.06079.
Sobald ein Benutzer eine Verbindung zu VPN herstellt, wird der Prozess vpndownloader.exe im Hintergrund gestartet, und es wird ein Verzeichnis in c:\windows\temp mit Standardberechtigungen im folgenden Format erstellt:
[zufällige Zahlen].tmp
Nach der Erstellung dieses Verzeichnisses prüft vpndownloader.exe, ob das Verzeichnis leer ist, und wenn nicht, werden alle Dateien/Verzeichnisse darin gelöscht. Dieses Verhalten kann missbraucht werden, um beliebige Dateien als NT Authority\SYSTEM-Konto zu löschen.
Die Schwachstelle CVE-2023-20178 wurde mit der Veröffentlichung von AnyConnect Secure Mobility Client for Windows 4.10MR7 und Cisco Secure Client for Windows 5.0MR2 behoben, wie die Kollegen von Bleeping Computer hier schreiben. Das ist übrigens nicht die erste Schwachstelle im Cisco-Client – eine Suche im Blog nach AnyConnect wirft einige Treffer aus.
Wieder mal eine Hintertüre aufgeflogen?
Moin,
ich bin gespannt wann DATEV dazu reagiert, deren SmartIT Produkt (alte Version) nutzt AnyConnect als VPN Unterbau.
Kann das mal jemand übersetzen? Wo besteht die Sicherheitslücke, wenn ich Dateien in C:\windows\temp\[zufällige Zahlen].tmp\ löschen kann? Das dürften ja nur temporäre Installationsdateien sein und nichts kritisches. Irgendwie fehlt da was.
Einfach mal auf GitHub ein wenig lesen, steht alles auf der verlinkten Seite.