Cisco ha corregido una vulnerabilidad de alta gravedad encontrada en el software Cisco Secure Client (anteriormente AnyConnect Secure Mobility Client) que puede permitir a los atacantes escalar privilegios a la cuenta SYSTEM utilizada por el sistema operativo.
Cisco Secure Client permite a los empleados trabajar desde cualquier lugar a través de una red privada virtual (VPN) segura y proporciona a los administradores funciones de telemetría y administración de puntos finales.
Los atacantes locales con pocos privilegios pueden explotar esta falla de seguridad (rastreada como CVE-2023-20178) en ataques de baja complejidad que no requieren interacción del usuario.
«Esta vulnerabilidad existe porque se asignan permisos incorrectos a un directorio temporal que se crea durante el proceso de actualización», dice Cisco.
«Un atacante podría explotar esta vulnerabilidad abusando de una función específica del proceso de Windows Installer».
El error se corrigió en AnyConnect Secure Mobility Client para Windows 4.10MR7 y Cisco Secure Client para Windows 5.0MR2.
Según Cisco, CVE-2023-20178 no afecta a los siguientes macOS, Linux y productos móviles:
- Cisco AnyConnect Secure Mobility Client para Linux
- Cisco AnyConnect Secure Mobility Client para MacOS
- Cisco Secure Client-AnyConnect para Android
- Cisco Secure Client AnyConnect VPN para iOS
- Cisco Secure Client para Linux
- Cisco Secure Client para MacOS
Sin signos de explotación activa
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de la compañía aún no ha encontrado ninguna evidencia de uso malicioso en la naturaleza o código de explotación público dirigido al error.
En octubre, Cisco advirtió a los clientes que corrigieran otras dos fallas de seguridad de AnyConnect, con código de explotación pública y abordadas hace tres años, debido a la explotación en la naturaleza.
Los errores (CVE-2020-3433 y CVE-2020-3153) permiten a los actores de amenazas ejecutar código arbitrario en dispositivos Windows específicos con privilegios SYSTEM cuando están encadenados con otras fallas de escalada de privilegios.
Como CISA también dijo al agregarlos a su lista de errores explotados conocidos, «este tipo de vulnerabilidades son un vector de ataque frecuente para los actores cibernéticos maliciosos y representan un riesgo significativo para la empresa federal».
Hace dos años, Cisco parcheó un AnyConnect zero-day (CVE-2020-3556) con código de explotación público en mayo de 2021 con un retraso de seis meses después de proporcionar medidas de mitigación para disminuir la superficie de ataque cuando se reveló en noviembre de 2020.
Fuente y redacción: underc0de.org