Schwachstellen im ZScaler Client-Connector

Publiziert am 28. Mai 2024 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch eine kurze Information für Leser, die den Client-Connector von ZScaler in ihrer Umgebung einsetzen. Dort sind gleich drei Schwachstellen CVE-2023–41972, CVE-2023–41973, CVE-2023–41969 durch einen Sicherheitsforscher bekannt geworden. Richtig kombiniert lassen sich diese zu einem interaktionslosen lokalen Privileg Escalation-Angriff auf die betreffenden Verbindung missbrauchen.

Anzeige

Was ist der ZScaler Client-Connector?

Zscaler ist ein globales Cloud-basiertes Unternehmen für Informationssicherheit, das eine sichere digitale Transformation für mobile und Cloud-Umgebungen ermöglicht.

Der Zscaler Client-Connector ist ein schlanker Agent für Benutzerendpunkte, der hybrides Arbeiten durch sicheren, schnellen und zuverlässigen Zugriff auf jede App über jedes Netzwerk ermöglicht. Außerdem verschlüsselt er den Benutzerverkehr und leitet ihn an die Zscaler Zero Trust Exchange weiter – die weltweit größte Inline-Security-Cloud, die als intelligente Schaltzentrale fungiert, um Benutzer sicher direkt mit Anwendungen zu verbinden.

Schwachstellen im Client-Connector

Ich bin über nachfolgenden Tweet auf das Thema gestoßen, welches auf Medium im Artikel Catch me if you can — Local Privilege Escalation in Zscaler Client Connector sowie hier detaillierter beschrieben wird.

Anzeige

Dazu heißt es, dass die Cybersecurity Group (CSG) von GovTech kürzlich mit dem CSIT zusammengearbeitet hat, um Produkte der Zscaler-Suite für Zero Trust Network Access zu bewerten. Während der Untersuchung wurden mehrere Schwachstellen in der Zscaler Client Connector-Anwendung (vor Version 4.2.1) entdeckt, die schließlich von Zscaler mit CVEs versehen wurden:

  • Falsche Typvalidierung bei der Passwortprüfung (CVE-2023-41972)
  • Fehlende Eingabeüberprüfung bei Zscaler Client Connector ermöglicht beliebige Codeausführung (CVE-2023-41973)
  • ZSATrayManager: Beliebiges Löschen von Dateien (CVE-2023-41969)

Durch die Verkettung dieser Schwachstellen waren die Sicherheitsforscher Eugene Lim und Winston Ho in der Lage, die Rechte eines Standardbenutzers unter Windows zu erweitern, um beliebige Befehle als hochprivilegiertes NT AUTHORITY\SYSTEM-Dienstkonto unter Windows auszuführen. Hintergrund ist, dass der ZScaler Client-Connecto raus zwei Hauptprozessen besteht : ZSATray und ZSATrayManager.

ZSATrayManager ist der Dienst, der als NT AUTHORITY\SYSTEM-Benutzer ausgeführt wird und benötigte hochprivilegierte Aktionen wie Netzwerkmanagement, Konfigurationsdurchsetzung und Updates durchführt. ZSATray hingegen ist die benutzerseitige Frontend-Anwendung, die auf dem .NET Framework aufbaut. Über die Schwachstellen konnten die Sicherheitsforscher die Rechte des ZSATrayManager-Diensts im ZSATray Frontend nutzen. Dabei kam auch DLL-Hijacking zum Einsatz.

ZScaler hat die Schwachstellen zwischen Juli 2023 und Dezember 2023 geschlossen und bereits Ende März 2024 in diesem Artikel offen gelegt. Details zu den Schwachstellen und zum Angriffsvektor, den die Sicherheitsforscher ausbaldovert haben, finden sich im im Artikel hier.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schwachstellen im ZScaler Client-Connector

  1. Mark sagt:
    28. Mai 2024 um 22:48 Uhr

    gehört definitiv auf die Liste von dreckstool.de

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.