한 보안 연구원이 시스코(Cisco) AnyConnect Secure Mobility Client 및 Secure Client for Windows에 영향을 미치는 CVE-2023-20178(CVSS 점수 7.8) 취약점에 대한 PoC(개념 증명) 악성코드를 공개했다.
AnyConnect는 시스코에서 개발한 보안 원격 액세스 VPN 솔루션으로 직원이나 학생이 원격 위치에서 내부 리소스 및 서비스에 액세스할 수 있어 널리 사용되고 있다.
이번에 공개된 취약점을 이용하면 윈도우용 AnyConnect Secure Mobility Client Software 및 Secure Client Software의 클라이언트 업데이트 시에 권한이 낮은 인증된 로컬 공격자가 시스템 권을 획득할 수 있다.
이 취약점은 업데이트 프로세스 중에 만들어진 임시 디렉토리에 잘못된 사용 권한이 할당되기 때문에 발생하며, 공격자는 윈도우 설치 관리자 프로세스의 특정 기능을 악용해 이 임시 디렉토리에 악성 파일을 저장해 실행시킨다. 공격이 성공하면 공격자가 시스템 권한을 얻을 수 있다.
시스코는 CVE-2023-20178 취약점을 보고한 연구원 Philip Dragovic의 지적을 인정했으며, 이번 취약점을 방지하는 업데이트를 배포했다. Cisco 보안 사고 대응팀은 실제 업무 현장에서 이 취약점이 악용된 사례는 발견하지 못했다고 밝혔다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
