Cisco a corrigé une vulnérabilité de haute gravité trouvée dans le logiciel Cisco Secure Client (anciennement AnyConnect Secure Mobility Client) qui peut permettre aux attaquants d’élever les privilèges au compte SYSTEM utilisé par le système d’exploitation.

Cisco Secure Client permet aux employés de travailler de n’importe où via un réseau privé virtuel (VPN) sécurisé et fournit aux administrateurs des fonctionnalités de gestion des terminaux et de télémétrie.

Les attaquants locaux à faibles privilèges peuvent exploiter cette faille de sécurité (suivie sous le nom de CVE-2023-20178) dans des attaques peu complexes qui ne nécessitent pas d’interaction de l’utilisateur.

« Cette vulnérabilité existe car des autorisations incorrectes sont attribuées à un répertoire temporaire créé lors du processus de mise à niveau », explique Cisco.

« Un attaquant pourrait exploiter cette vulnérabilité en abusant d’une fonction spécifique du processus d’installation de Windows. »

Le bogue a été corrigé dans AnyConnect Secure Mobility Client pour Windows 4.10MR7 et Cisco Secure Client pour Windows 5.0MR2.

Selon Cisco, CVE-2023-20178 n’affecte pas les produits macOS, Linux et mobiles suivants :

  • Client de mobilité sécurisé Cisco AnyConnect pour Linux
  • Client de mobilité sécurisée Cisco AnyConnect pour MacOS
  • Cisco Secure Client-AnyConnect pour Android
  • Cisco Secure Client AnyConnect VPN pour iOS
  • Client sécurisé Cisco pour Linux
  • Client sécurisé Cisco pour MacOS

Aucun signe d’exploitation active
L’équipe de réponse aux incidents de sécurité des produits (PSIRT) de la société n’a pas encore trouvé de preuve d’utilisation malveillante dans la nature ou de code d’exploitation public ciblant le bogue.

En octobre, Cisco a averti les clients de corriger deux autres failles de sécurité AnyConnect, avec un code d’exploitation public et résolues il y a trois ans, en raison d’une exploitation sauvage.

Les bogues (CVE-2020-3433 et CVE-2020-3153) permettent aux pirates d’exécuter du code arbitraire sur des appareils Windows ciblés avec des privilèges SYSTEM lorsqu’ils sont enchaînés avec d’autres failles d’escalade de privilèges.

Comme l’a également déclaré la CISA en les ajoutant à sa liste de bogues exploités connus, « ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour l’entreprise fédérale ».

Il y a deux ans, Cisco a corrigé un AnyConnect zero-day (CVE-2020-3556) avec un code d’exploitation public en mai 2021 avec un délai de six mois après avoir fourni des mesures d’atténuation pour réduire la surface d’attaque lors de sa divulgation en novembre 2020.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *