Descripción
Cuando el servicio VPN de Windows se inicia, intenta cargar un archivo de configuración de OpenSSL desde una ruta inexistente:
C:\Work\WinVPNClient\ThirdParty\openssl\openssl-3.1.1\VS2022\SSL64\openssl.cnf
Un usuario con pocos privilegios puede crear esta estructura de directorios para el archivo y añadir un DLL que se cargará en memoria usando la función de motor en el archivo de configuración de OpenSSL, la próxima vez que se inicie el servicio VPN de Cato.
Severidad
El puntaje CVSSv3.1 es 8,8 (Alto).
¿Qué cambios necesito hacer?
Utilice el Panel de usuarios SDP para identificar a los usuarios con versiones del Cliente de Windows por debajo de 5.10.34. Asegúrese de que actualicen a la versión más reciente del Cliente de Windows y reciban los parches de seguridad y mejoras más recientes.
Agradecimientos
Cato Networks agradece a AmberWolf por detectar e identificar el problema. Los detalles técnicos completos se pueden encontrar en su publicación de blog.
¿Cuál es el impacto en la cuenta?
Si no actualiza a Windows Client v5.10.34 o superior, los dispositivos con versiones inferiores son vulnerables. Hasta donde sabemos, ninguno de estos problemas ha sido explotado en la naturaleza.
¿Con quién debo hablar si tengo preguntas?
Por favor, contacte Soporte.
0 comentarios
Inicie sesión para dejar un comentario.