کشف‌ آسیب‌پذیري در نرم افزار Cisco Anyconnect

اخیراً کد اکسپلویت‌ PoC برای‌ یک‌ آسیب پذیری سطح‌ بالا در نرم افزارCisco Secure Client Software for Windows که‌ پیش‌ تر از آن تحت‌ عنوان AnyConnect Secure Mobility Client نام برده می‌شد، منتشر شده است‌؛ این‌ آسیب‌پذیری‌ به‌ فرد مهاجم‌ این‌ امکان را می‌دهد تا سطح‌ اختیارات خود را به‌ سطح‌ حساب SYSTEM ارتقاء دهد. در همین‌ ارتباط، لازم به‌ ذکر است‌ نرم افزار Cisco Secure Client به‌ کارمندان کمک‌ می‌کند تا با استفاده از یک‌ زیرساخت‌ امن‌ VPN، از هر جایی‌، به‌ انجام وظایف‌ اداری‌ خود بپردازند و علاوه بر این‌، نرم افزار مزبور اطلاعات Telemetry و نیز قابلیت‌های‌ مدیریت‌ نقاط انتهائی‌ را برای‌ ادمین‌های‌ شبکه‌ فراهم‌ می‌سازد.

آسیب‌پذیری‌ مزبور که‌ شناسه‌ CVE-2023-20178 به‌ آن اختصاص یافته‌ است‌، فرد مهاجم‌ و احراز هویت‌ نشده را قادر می‌سازد تا سطح‌ اختیارات خود را به‌ سطح‌ اختیارات حساب SYSTEM ارتقاء دهد (این‌ حساب توسط‌ سیستم‌عامل‌ ویندوز مورد استفاده قرار می‌ گیرد) تا از این‌ طریق‌، حملات سایبری‌ با میزان پیچیدگی‌ کم‌ (که‌ نیازی‌ به‌ تعامل‌ و دخالت‌ کاربر ندارند ) را انجام دهند. به‌ گفته‌ شرکت‌ سیسکو، بهره برداری‌ موفقیت‌آمیز از این‌ آسیب‌پذیری‌، مستلزم سوءاستفاده از یک‌ عملکرد خاص از Windows Installer Process می‌باشد. لازم به‌ ذکر است‌ شرکت‌ سیسکو اخیراً به‌روزرسانی‌های‌ امنیتی‌ به‌ منظور مرتفع‌ ساختن‌ آسیب‌پذیری‌ مزبور را منتشر ساخته‌ است‌؛ در همین‌ رابطه‌، تیم‌ PSIRT سیسکو ادعا کرده که‌ شواهدی‌ مبنی‌ بر بهره برداری‌ از آسیب‌پذیری‌ مورد بحث‌ در حملات سایبری‌ را کشف‌ نکرده است‌.

به‌ گفته‌ محققان، این‌ آسیب‌پذیری‌ با انتشار نرم افزارهای‌ به‌ شرح زیر، وصله‌ شده است‌:

• AnyConnect Secure Mobility Client for Windows 4.10MR7
• Cisco Secure Client for Windows 5.0MR2

پیش‌تر نیز اکسپلویت‌ کد PoC یک‌ آسیب‌پذیری‌ از نوع حذف فایل‌ دلخواه توسط‌ یکی‌ از محققان امنیتی‌ کشف‌ و به‌ سیسکو گزارش شده بود؛ PoC مربوطه‌، بر روی‌ نرم افزارهای‌ Cisco Secure Client (نسخه‌ 5.0.0.1242) و Cisco AnyConnect (نسخه‌ 10.06079. ٤) تست‌ شده بود. در این‌ ارتباط گفته‌ شده زمانی‌ که‌ کاربر به‌ یک‌ VPN متصل‌ می‌شود، یک‌ فرآیند به‌ نام vpndownloader.exe در پشت‌ صحنه‌ آغاز به‌ کار می‌ کند و در مسیر c:windows emp، یک‌ دایرکتوری‌ با مجوزهای‌ پیش‌ فرض ایجاد می‌کند که‌ دارای‌ فرمت‌ random numbers>.tmp> می‌باشد.

پس‌ از ایجاد این‌ دایرکتوری‌، فرآیند مزبور، خالی‌ بودن مسیر ایجاد شده را بررسی‌ می‌کند و در صورتی‌ که‌ مسیر مربوطه‌ خالی‌ نباشد، تمامی‌ فایل‌ ها و زیرشاخه‌های‌ داخل‌ آن را حذف می‌کند. این‌ رفتار می‌تواند به‌ منظور انجام فرآیند حذف فایل‌ دلخواه با استفاده از حساب NTAuthoritySYSTEM مورد سوءاستفاده قرار گیرد. در این‌ حملات، مهاجم‌ قادر است‌ تعداد زیادی‌ از یک‌ System Shell را از طریق‌ حذف فایل‌ دلخواه و نیز سوءاستفاده از رفتار Windows Installer و این‌ موضوع که‌ فرآیند به‌روزرسانی‌ کلاینت‌ پس‌ از هر بار اجرای‌ موفقیت‌آمیز ارتباط VPN انجام می‌شود، ایجاد نماید که‌ در این‌ فرآیند و به‌ منظور ارتقاء سطح‌ دسترسی‌ و اختیارات، از یک‌ تکنیک‌ خاص استفاده می‌شود.

شایان ذکر است‌ در ماه اکتبر سال گذشته‌ میلادی‌ نیز شرکت‌ سیسکو به‌ مشتریان خود پیرامون اعمال وصله‌ امنیتی‌ منتشر شده برای‌ تعداد دو آسیب‌پذیری‌ در AnyConnect (دارای‌ کد اکسپلویت‌ عمومی‌)هشدار داده بود چرا که‌ از این‌ آسیب‌پذیری‌ها در حملات سایبری‌ استفاده شده بود. همچنین‌ دو سال پیش‌ نیز این‌ شرکت‌ یک‌ آسیب‌پذیری‌ روز صفر را در AnyConnect وصله‌ نموده بود که‌ این‌ آسیب‌پذیری‌ نیز دارای‌ کد اکسپلویت‌ عمومی‌ بود.