Une faille dans Cisco Secure Client (AnyConnect) permet d’obtenir les droits SYSTEM sur Windows
Partons du côté de chez Cisco : l'entreprise américaine vient de corriger une faille de sécurité importante dans son application Cisco Secure Client qui permettrait d'élever ses privilèges en tant que SYSTEM sur la machine locale. Voici ce qu'il faut savoir sur cette vulnérabilité.
Cisco Secure Client, qui correspond à AnyConnect, est une application qui permet de se connecter en VPN au réseau de son entreprise. De ce fait, elle est installée sur les postes de travail des utilisateurs qui ont l'autorisation de se connecter en VPN.
Cette application est affectée par la vulnérabilité CVE-2023-20178 qui s'exploite en local, à partir d'un utilisateur standard (sans privilège spécifique) et sans qu'il y ait d'interaction de la part de l'utilisateur. Autrement dit, la vulnérabilité pourrait être exploitée dans des scénarios d'attaques assez simples.
Dans le bulletin de sécurité de Cisco, on peut lire : "Cette vulnérabilité existe parce que des permissions incorrectes sont attribuées à un répertoire temporaire qui est créé pendant le processus de mise à niveau de l'application. Un attaquant peut exploiter cette vulnérabilité en abusant d'une fonction spécifique du processus Windows Installer".
Quelles sont les versions vulnérables ?
Tout d'abord, il faut savoir que cette vulnérabilité impacte uniquement la version pour Windows (confirmé par Cisco). Ensuite, selon la version impactée, le produit ne s'appelle pas de la même façon. Voici le détail :
- Cisco AnyConnect Secure Mobility Client for Windows : versions 4.10 et antérieures
- Version qui corrige la vulnérabilité : 4.10MR7
- Cisco Secure Client for Windows : version 5.0
- Version qui corrige la vulnérabilité : 5.0MR2
Vous devez donc utiliser Cisco AnyConnect Secure Mobility Client for Windows 4.10MR7 ou Cisco Secure Client for Windows 5.0MR2 pour vous protéger de cette vulnérabilité.
La bonne nouvelle, c'est que pour le moment cette faille de sécurité ne semble pas exploitée dans le cadre d'attaques, et il n'y a pas d'exploit public à son sujet. Mais, n'attendez pas que ce soit le cas : patchez Cisco Secure Client sur vos machines !