PoC-Exploit für Cisco AnyConnect-Schwachstelle CVE-2023-20178 ermöglicht SYSTEM-Privilegien

Sicherheit (Pexels, allgemeine Nutzung)In der Cisco AnyConnect Secure Mobility Client Software gibt es eine Schwachstelle, über die Angreifer sich SYSTEM-Privilegien unter Windows verschaffen können. Nun ist ein Proof of Concept für einen Exploit zum Ausnutzen dieser Schwachstelle (CVE-2023-20178) verfügbar.


Anzeige

Der Cisco AnyConnect Secure Mobility Client ermöglicht Remote-Mitarbeitern den reibungslosen, sicheren Zugriff auf das Unternehmensnetzwerk per VP, von jedem Gerät, jederzeit und von überall und schützt gleichzeitig Ihr Unternehmen, wirbt der Hersteller. Inzwischen vermarket Cisco die Lösung als "Cisco Secure Client".

Die Schwachstelle CVE-2023-20178

Zum 7. Juni 2023 hatte Cisco die Sicherheitswarnung Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability zur Schwachstelle CVE-2023-20178 veröffentlicht. Im Dokument heißt es:

Eine Schwachstelle im Client-Aktualisierungsprozess der Cisco AnyConnect Secure Mobility Client Software für Windows und der Cisco Secure Client Software für Windows könnte es einem wenig privilegierten, authentifizierten, lokalen Angreifer ermöglichen, seine Privilegien auf die von SYSTEM zu erhöhen. Der Client-Aktualisierungsprozess wird ausgeführt, nachdem eine erfolgreiche VPN-Verbindung hergestellt wurde.

Diese Sicherheitsanfälligkeit besteht, weil einem temporären Verzeichnis, das während des Aktualisierungsprozesses erstellt wird, falsche Berechtigungen zugewiesen werden. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine bestimmte Funktion des Windows-Installationsprozesses missbraucht. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, Code mit SYSTEM-Rechten auszuführen.

Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds (außer dem Update des Clients), die diese Sicherheitslücke beheben. Details zu betroffenen Produkten finden sich im Sicherheitshinweise von Cisco.

Proof of Concept für Exploit

Auf Github hat ein Nutzer mit dem Alias Wh04m100 nun ein Proof of Concept (PoC) zur Ausnutzung der obigen Schwachstelle CVE-2023-20178 veröffentlicht. Er schreibt, dass der PoC für das löschen einer beliebigen Datei verwendet werden kann. Getestet wurde es mit dem Cisco Secure Client 5.0.01242 und Cisco AnyConnect 4.10.06079.

PoC-Exploit for Cisco AnyConnect

Sobald ein Benutzer eine Verbindung zu VPN herstellt, wird der Prozess vpndownloader.exe im Hintergrund gestartet, und es wird ein Verzeichnis in c:\windows\temp mit Standardberechtigungen im folgenden Format erstellt:

[zufällige Zahlen].tmp

Nach der Erstellung dieses Verzeichnisses prüft vpndownloader.exe, ob das Verzeichnis leer ist, und wenn nicht, werden alle Dateien/Verzeichnisse darin gelöscht. Dieses Verhalten kann missbraucht werden, um beliebige Dateien als NT Authority\SYSTEM-Konto zu löschen.


Anzeige

Die Schwachstelle CVE-2023-20178 wurde mit der Veröffentlichung von AnyConnect Secure Mobility Client for Windows 4.10MR7 und Cisco Secure Client for Windows 5.0MR2 behoben, wie die Kollegen von Bleeping Computer hier schreiben. Das ist übrigens nicht die erste Schwachstelle im Cisco-Client – eine Suche im Blog nach AnyConnect wirft einige Treffer aus.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu PoC-Exploit für Cisco AnyConnect-Schwachstelle CVE-2023-20178 ermöglicht SYSTEM-Privilegien

  1. Georg sagt:

    Wieder mal eine Hintertüre aufgeflogen?

  2. Mr. Bit sagt:

    Moin,

    ich bin gespannt wann DATEV dazu reagiert, deren SmartIT Produkt (alte Version) nutzt AnyConnect als VPN Unterbau.

  3. sumpfnagel sagt:

    Kann das mal jemand übersetzen? Wo besteht die Sicherheitslücke, wenn ich Dateien in C:\windows\temp\[zufällige Zahlen].tmp\ löschen kann? Das dürften ja nur temporäre Installationsdateien sein und nichts kritisches. Irgendwie fehlt da was.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.