16/12/2024

Actu CybersécuritéLogiciel - OS

Un exploit PoC mis en ligne pour la faille critique dans Cisco Secure Client (AnyConnect)

Si vous n'avez pas mis à jour le client Cisco Secure Client (AnyConnect) sur vos machines Windows, il est temps de le faire : le code d'un exploit prêt à l'emploi a été mis en ligne ! Pour rappel, cette vulnérabilité permet d'élever ses privilèges en tant que SYSTEM.

Pour rappel, l'application Cisco Secure Client, qui est plus connue sous le nom AnyConnect, sert à se connecter en VPN au réseau de son entreprise. De ce fait, elle est installée sur les postes de travail des utilisateurs qui ont l'autorisation de se connecter en VPN.

Au début du mois de juin, Cisco a mis en ligne un bulletin de sécurité au sujet de la vulnérabilité CVE-2023-20178. Celle-ci s'exploite en local, à partir d'un utilisateur standard (sans privilège spécifique) et permet d'élever ses privilèges sans qu'il y ait besoin d'interaction de la part de l'utilisateur. La bonne nouvelle, c'est qu'il existe un correctif pour se protéger :

  • Versions vulnérables - Cisco AnyConnect Secure Mobility Client for Windows : versions 4.10 et antérieures
    • Version qui corrige la vulnérabilité : 4.10MR7
  • Version vulnérable - Cisco Secure Client for Windows : version 5.0
    • Version qui corrige la vulnérabilité : 5.0MR2

Un exploit PoC disponible sur GitHub

Le chercheur en sécurité Filip Dragović, qui a fait la découverte de cette vulnérabilité, a mis en ligne un exploit PoC sur GitHub. De ce fait, nous en savons plus sur le fonctionnement de cette faille de sécurité (et les cybercriminels aussi). Il indique avoir testé ce PoC sur Cisco Secure Client 5.0.01242 et Cisco AnyConnect 4.10.06079.

Il explique que, lorsqu'un utilisateur se connecte en VPN, le processus "vpndownloader.exe" est exécuté en tâche de fond, et qu'il va créer un répertoire dans "C:\Windows\Temp" avec les permissions par défaut. Après la création de ce répertoire, le processus "vpndownloader.exe" va vérifier s'il est vide : s'il y a des fichiers ou dossiers, ils sont supprimés. Ceci permet d'abuser de cette fonction pour permettre la suppression de fichiers en tant que SYSTEM.

Il explique ensuite que la technique Arbitrary File Delete peut être utilisée pour créer un shell avec les autorisations SYSTEM sur Windows, ce qui va plus loin que la suppression de fichiers et permet d'avoir un contrôle complet sur la machine locale.

Si ce n'est pas encore fait, mettez à jour votre client Cisco pour vous protéger !

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.