Aviso de Seguridad - SonicWall Global VPN Client.pdf
1. AVISO DE SEGURIDAD: SONICWALL GLOBAL VPN CLIENT DLL SEARCH HIJACKING VIA
APPLICATION INSTALLER
SonicWall ha confirmado que el instalador de Global VPN Client (GVC) 4.10.7.1117 (32 bits y 64
bits) y versiones anteriores tienen tres vulnerabilidades específicas en uno de los componentes
del instalador como se describe a continuación:
1. Secuestro de órdenes de búsqueda de DLL de cliente VPN global a través del instalador de
aplicaciones (RunMSI.exe). Esto incluye tanto los instaladores de 32 bits como los de 64 bits.
2. Global VPN Client Installer no puede eliminar la carpeta RarSFX y su contenido después de
la instalación. Por lo tanto, todas las organizaciones y / o usuarios que han instalado la última
versión de GVC tienen la carpeta problemática RarSFX y su componente vulnerable
(RunMSI.exe), lo que podría conducir a la explotación potencial de la primera vulnerabilidad
anterior. Solo las últimas tres versiones de 64 bits 4.10.7.1117, 4.10.6.0913 y 4.10.5.1224 se
ven afectadas.
3. Highjacking de DLL de cliente VPN global de 32 bits sobre DLL de Microsoft Foundation Class.
Si bien las dos primeras vulnerabilidades se aplican al instalador, esta se encuentra en la
propia aplicación. Solo la versión de 32 bits de GVC es vulnerable.
IMPORTANTE
No hay evidencia de que estas vulnerabilidades estén siendo explotadas en la naturaleza. Las
tres vulnerabilidades solo se pueden explotar después de que el adversario obtenga el control
de la máquina, tenga privilegios de administrador o pueda colocar archivos maliciosos en la
máquina. Las vulnerabilidades no se pueden explotar en un sistema limpio.
SonicWall insta encarecidamente a las organizaciones que utilizan global VPN Client (GVC) en su
red a seguir las instrucciones a continuación.
IMPACTO
La explotación exitosa a través de un usuario privilegiado podría resultar en la ejecución de
comandos en el sistema de destino. Todos los componentes DLL vulnerables se encuentran en
la parte RunMSI.exe del instalador. Un componente de instalación vulnerable (RunMSI.exe) es
vulnerable a un total de 15 variaciones del secuestro de orden de búsqueda de DLL.
Estas vulnerabilidades requieren la interacción del usuario y la ejecución del instalador
vulnerable. La ejecución de comandos en el sistema de destino debe ejecutarse con privilegios
de administrador. El instalador de GVC no elimina la carpeta RarSFX problemática y su contenido
después de la instalación.
IMPORTANTE
Si un usuario no tiene privilegios de administrador, no hay forma de ejecutar los instaladores
vulnerables. Solo cuando un administrador ejecuta explícitamente los instaladores, o el sistema
de destino ya está comprometido por los privilegios de administrador, podría producirse un
posible secuestro de DLL.
2. SOLUCIÓN:
Siga los pasos de resolución a continuación en función de los casos de uso específicos de su
organización.
Para descargar el script que eliminará la carpeta RarSFX, realice lo siguiente:
1. Descarga de archivo link:
https://software.sonicwall.com/GlobalVPNClient/installCleaner.bat
2. Haga clic en el icono de descarga a la derecha del archivo para iniciar el proceso de
descarga.
3. Te mostrara esta imagen depueste de ejecutar el “installCleaner.bat”
4. Te mostrará la siguiente imagen CMD:
5. Ejecutamos presionando cualquier tecla y cerramos ventana.
6. Descarga la nueva versión: GVC 4.10.7.1424 versión de 32 bits (X86)
Link de descarga:
https://software.sonicwall.com/S.asp?P=TVNXKjQvMjkvMjAyMiAzOjM5OjE1IEFNKmh0dH
BzOi8vc29mdHdhcmUuc29uaWN3YWxsLmNvbS9HbG9iYWxWUE5DbGllbnQvMTg0LTAxM
TUwMC0wMF9SRVZfQV9HVkNTZXR1cDY0LmV4ZSo0XzM3OTM2NDc3KlNOV0w(