【POC】CVE-2023-20178 Cisco AnyConnect Secure Mobility Client for Windows 安全漏洞
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/Wh04m1001/CVE-2023-20178
小编简要概括
该项目是一个针对Cisco Secure Client和Cisco AnyConnect中存在的任意文件删除漏洞(CVE-2023-20178)的PoC,攻击者可以利用该漏洞以NT Authority\SYSTEM权限执行任意文件删除操作,并在其中滥用Windows安装程序的行为来提升权限。
相关技术点
- 漏洞利用:通过创建指定格式的临时目录,并在其中放入需要删除的文件或目录,可以利用vpndownloader.exe进程的行为删除其中的文件或目录,从而进行任意文件删除操作。
- 权限提升:通过在任意文件删除操作中指定Windows Installer缓存目录下的.msi文件,可以利用其自动解压缩和安装的行为来执行任意命令并提升权限。
项目用途
该项目的主要用途是演示Cisco Secure Client和Cisco AnyConnect中存在的任意文件删除漏洞,以及如何利用该漏洞进行权限提升。同时,该项目可以帮助安全研究人员、网络管理员等人员了解该漏洞的具体原理和漏洞利用方法,以便进行漏洞挖掘和修复。
漏洞描述
Cisco AnyConnect Secure Mobility Client for Windows是美国思科(Cisco)公司的一款基于Windows平台的可通过任何设备安全访问网络和应用的安全移动客户端。
Cisco AnyConnect Secure Mobility Client Software for Windows和Secure Client Software for Windows存在安全漏洞,该漏洞源于允许经过身份验证的低权限攻击者将权限提升至 SYSTEM权限。
CVE-2023-20178
这是Cisco Secure Client(在5.0.01242上测试)和Cisco AnyConnect(在4.10.06079上测试)中任意文件删除漏洞的PoC。
当用户连接到VPN时,vpndownloader.exe进程会在后台启动,并创建格式为<随机数字>.tmp的具有默认权限的c:\windows\temp目录。创建此目录后,vpndownloader.exe将检查该目录是否为空,如果不为空,则会删除其中的所有文件/目录。可以利用此行为来执行NT Authority\SYSTEM账户的任意文件删除。
为了利用Windows安装程序的行为(由@KLINIX5发现,ZDI文章中有描述https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks),任意文件删除然后用于生成系统cmd进程。