Описание
Когда сервис VPN Windows запускается, он пытается загрузить файл конфигурации OpenSSL из несуществующего пути:
C:\Work\WinVPNClient\ThirdParty\openssl\openssl-3.1.1\VS2022\SSL64\openssl.cnf
Пользователь с низкими привилегиями может создать эту структуру каталогов для файла и добавить DLL, который будет загружен в память с помощью функции движка в файле конфигурации OpenSSL, при следующем запуске сервиса Cato VPN.
Серьезность
Оценка риска CVSSv3.1 составляет 8.8 (Высокий).
Какие изменения мне нужно внести?
Используйте Панель управления пользователями SDP для идентификации пользователей с версиями Клиента для Windows ниже 5.10.34. Убедитесь, что они обновили клиент для Windows до самой последней версии и получают последние обновления безопасности и улучшения.
Благодарности
Cato Networks благодарит AmberWolf за обнаружение и идентификацию проблемы. Полные технические детали можно найти в их публикации в блоге.
Каково влияние на аккаунт?
Если вы не обновитесь до Клиента для Windows v5.10.34 или выше, устройства с более низкими версиями уязвимы. Насколько нам известно, ни одна из этих проблем не была использована в природе.
С кем мне поговорить, если у меня есть вопросы?
Пожалуйста, свяжитесь с Поддержкой.
0 комментариев
Войдите в службу, чтобы оставить комментарий.