Logo
Hamburger Menu Icon
Yoroi Background

Vulnerabilità EoP su Cisco AnyConnect 

06/22/2023

PROTO: N03062023 

CERT Yoroi informa che a partire dalla giornata del 21/06/2023 è emersa la notizia di un POC pubblico relativo alla CVE-2023-20178 riguardante la tecnologia Cisco AnyConnect, la tecnologia VPN implementata dal produttore Cisco Systems, Inc . 

La falla è causata da una errata gestione delle autorizzazioni del processo "vpndownloader.exe", che si esegue quando un utente si connette alla VPN. Quando questo processo va in stato di running, esso crea una cartella in “c:\windows\temp” con permessi ed autorizzazioni non corrette. Nel caso in cui ci fossero dei file all'interno di questa cartella temporanea, il processo provvede ad eliminarli. Questa attività avviene con i privilegi di “NTAuthority\SYSTEM” account. Per cui, un attaccante può servirsi di questa operazione per creare una shell con permessi di sistema ed eseguire codice arbitrario con i permessi di NTAUTHORITY\SYSYEM.  

Il Vendor ha confermato la vulnerabilità con un bollettino di sicurezza in cui include una vulnerabilità sui prodotti di Anyconnect "Cisco AnyConnect Secure Mobility Client Software for Windows" e "Cisco Secure Client Software for Windows", riconosciuta con l'identificativo CVE-2023-20178 per le versioni: 

  • Cisco Secure Client (tested on 5.0.01242)  
  • Cisco AnyConnect (tested on 4.10.06079) 
  • NB: Per release antecedenti alla 5.0, Cisco Secure Client for Windows è chiamato Cisco AnyConnect Secure Mobility Client for Windows. 

Nella giornata del 21 Giugno 2023 CERT Yoroi rileva mediante fonti di OSINT la pubblicazione di un POC pubblico  relativo al ricercatore Filip Dragović. 

Attualmente il vendor nel bollettino di sicurezza ufficiale sottolinea come non ci siano workaround per mitigare la vulnerabilità; pertanto, ha rilasciato dei free software per l'update delle versioni vulnerabili. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di valutare l’installazione degli aggiornamenti al più presto usando i tool condivisi dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index  

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram