นักวิจัยด้านความปลอดภัยได้ปล่อยชุดสาธิตการโจมตี หรือ Proof-of-concept exploit code (PoC) ของช่องโหว่ Cisco Secure Client Software สำหรับ Windows (เดิมคือ AnyConnect Secure Mobility Client) ที่มีระดับความรุนแรงสูง ซึ่งทำให้สามารถยกระดับสิทธ์ SYSTEM privilege ได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-20178 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์เป็นสิทธิ์ SYSTEM ได้ (Privilege Escalation) ในกระบวนการอัปเดตไคลเอนต์ของ Cisco AnyConnect Secure Mobility Client Software สำหรับ Windows และ Cisco Secure Client Software สำหรับ Windows
Cisco Secure Client เป็นโปรแกรมที่ช่วยให้ผู้ใช้งานสามารถทำงานได้จากทุกที่โดยใช้ Virtual Private Network (VPN) ที่มีความปลอดภัย และเป็นเครื่องมือสำหรับผู้ดูแลระบบเครือข่ายสามารถบริหารจัดการเครือข่ายจากภายนอกได้
ปัจจุบันทาง Cisco ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน AnyConnect Secure Mobility Client สำหรับ Windows 4.10MR7 และ Cisco Secure Client สำหรับ Windows 5.0MR2
ทั้งนี้ทางทีม Product Security Incident Response Team (PSIRT) ของ Cisco ได้รายงานว่ายังไม่พบเหตุการณ์การโจมตีที่เกี่ยวข้องกับช่องโหว่ดังกล่าว
ภายหลังจากที่ทาง Cisco ได้เปิดเผยช่องโหว่ ก็ได้มีการเปิดเผยชุดสาธิตการโจมตี หรือ Proof-of-concept exploit code (PoC) โดยนักวิจัยด้านความปลอดภัย Filip Dragović ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ Arbitrary File Delete ให้กับ Cisco โดยชุด PoC ดังกล่าวได้ใช้ในการทดสอบการโจมตี Cisco Secure Client (5.0.01242) และ Cisco AnyConnect ( 4.10.06079)
เมื่อผู้ใช้งานทำการเชื่อมต่อ VPN กระบวนการ vpndownloader.exe ก็จะเริ่มทำงานเบื้องหลังระบบทันที และจะสร้าง directory ใน c:\windows\temp ด้วยสิทธิ์เริ่มต้น หลังจากนั้น vpndownloader.exe จะทำการตรวจสอบว่า directory นั้นว่างเปล่าหรือไม่ ถ้าไม่ มันจะลบไฟล์/ไดเร็กทอรีทั้งหมดในนั้น ซึ่ง Hacker สามารถใช้ความสามารถนี้เพื่อทำการลบไฟล์ด้วยสิทธิ์ NT Authority\SYSTEM ได้
Cisco ได้แจ้งเตือนให้ผู้ใช้งานที่ได้รับผลกระทบจากช่องโหว่เร่งทำการอัปเดตแพตซ์โดยด่วนเพื่อป้องกันการถูกโจมตี เนื่องจากได้มีการชุดสาธิตการโจมตี (PoC) ออกมาแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.