Blog News
کشف آسیبپذیري در نرم افزار Cisco Anyconnect
-min.png)
کشف آسیبپذیري در نرم افزار Cisco Anyconnect
اخیراً کد اکسپلویت PoC برای یک آسیب پذیری سطح بالا در نرم افزارCisco Secure Client Software for Windows که پیش تر از آن تحت عنوان AnyConnect Secure Mobility Client نام برده میشد، منتشر شده است؛ این آسیبپذیری به فرد مهاجم این امکان را میدهد تا سطح اختیارات خود را به سطح حساب SYSTEM ارتقاء دهد. در همین ارتباط، لازم به ذکر است نرم افزار Cisco Secure Client به کارمندان کمک میکند تا با استفاده از یک زیرساخت امن VPN، از هر جایی، به انجام وظایف اداری خود بپردازند و علاوه بر این، نرم افزار مزبور اطلاعات Telemetry و نیز قابلیتهای مدیریت نقاط انتهائی را برای ادمینهای شبکه فراهم میسازد.
آسیبپذیری مزبور که شناسه CVE-2023-20178 به آن اختصاص یافته است، فرد مهاجم و احراز هویت نشده را قادر میسازد تا سطح اختیارات خود را به سطح اختیارات حساب SYSTEM ارتقاء دهد (این حساب توسط سیستمعامل ویندوز مورد استفاده قرار می گیرد) تا از این طریق، حملات سایبری با میزان پیچیدگی کم (که نیازی به تعامل و دخالت کاربر ندارند ) را انجام دهند. به گفته شرکت سیسکو، بهره برداری موفقیتآمیز از این آسیبپذیری، مستلزم سوءاستفاده از یک عملکرد خاص از Windows Installer Process میباشد. لازم به ذکر است شرکت سیسکو اخیراً بهروزرسانیهای امنیتی به منظور مرتفع ساختن آسیبپذیری مزبور را منتشر ساخته است؛ در همین رابطه، تیم PSIRT سیسکو ادعا کرده که شواهدی مبنی بر بهره برداری از آسیبپذیری مورد بحث در حملات سایبری را کشف نکرده است.
به گفته محققان، این آسیبپذیری با انتشار نرم افزارهای به شرح زیر، وصله شده است:
- AnyConnect Secure Mobility Client for Windows 4.10MR7
- Cisco Secure Client for Windows 5.0MR2
پیشتر نیز اکسپلویت کد PoC یک آسیبپذیری از نوع حذف فایل دلخواه توسط یکی از محققان امنیتی کشف و به سیسکو گزارش شده بود؛ PoC مربوطه، بر روی نرم افزارهای Cisco Secure Client (نسخه 5.0.0.1242) و Cisco AnyConnect (نسخه 10.06079. ٤) تست شده بود. در این ارتباط گفته شده زمانی که کاربر به یک VPN متصل میشود، یک فرآیند به نام vpndownloader.exe در پشت صحنه آغاز به کار می کند و در مسیر c:windows emp، یک دایرکتوری با مجوزهای پیش فرض ایجاد میکند که دارای فرمت random numbers>.tmp> میباشد.
پس از ایجاد این دایرکتوری، فرآیند مزبور، خالی بودن مسیر ایجاد شده را بررسی میکند و در صورتی که مسیر مربوطه خالی نباشد، تمامی فایل ها و زیرشاخههای داخل آن را حذف میکند. این رفتار میتواند به منظور انجام فرآیند حذف فایل دلخواه با استفاده از حساب NTAuthoritySYSTEM مورد سوءاستفاده قرار گیرد. در این حملات، مهاجم قادر است تعداد زیادی از یک System Shell را از طریق حذف فایل دلخواه و نیز سوءاستفاده از رفتار Windows Installer و این موضوع که فرآیند بهروزرسانی کلاینت پس از هر بار اجرای موفقیتآمیز ارتباط VPN انجام میشود، ایجاد نماید که در این فرآیند و به منظور ارتقاء سطح دسترسی و اختیارات، از یک تکنیک خاص استفاده میشود.
شایان ذکر است در ماه اکتبر سال گذشته میلادی نیز شرکت سیسکو به مشتریان خود پیرامون اعمال وصله امنیتی منتشر شده برای تعداد دو آسیبپذیری در AnyConnect (دارای کد اکسپلویت عمومی)هشدار داده بود چرا که از این آسیبپذیریها در حملات سایبری استفاده شده بود. همچنین دو سال پیش نیز این شرکت یک آسیبپذیری روز صفر را در AnyConnect وصله نموده بود که این آسیبپذیری نیز دارای کد اکسپلویت عمومی بود.