Najnowsze ostrzeżenia bezpieczeństwa ujawniają istotną podatność w WatchGuard Mobile VPN with IPSec Client dla Windows, która może umożliwić lokalnym użytkownikom wykonanie dowolnych poleceń z najwyższymi uprawnieniami SYSTEM, w efekcie całkowicie kompromitując system operacyjny. Błąd został oficjalnie opublikowany jako WatchGuard Advisory WGSA-2026-00002 (jest również identyfikowany jako NCPVE-2025-0626) i dotyczy komponentu instalacyjnego dostarczonego przez firmę NCP Engineering, używanego przez klienta VPN.
Co dokładnie się stało – mechanizm luki
Podatność wynika z nieprawidłowego zachowania instalatora MSI podczas instalowania, aktualizowania lub usuwania klienta VPN. W tych momentach instalator czasowo uruchamia procesy cmd.exe działające w kontekście konta SYSTEM – najwyższego poziomu uprawnień w systemie Windows.
Na starszych wersjach Windows okna wiersza poleceń są interaktywne i widoczne dla użytkownika. W takiej sytuacji lokalny atakujący może przechwycić otwarte okno cmd.exe i wykonać dowolne polecenia, które zostaną uruchomione z uprawnieniami SYSTEM. Oznacza to potencjalne obejście mechanizmów ochrony systemu, takich jak polityki kontrolowane przez administratora, a także możliwość modyfikacji plików systemowych, instalowania złośliwego oprogramowania, zmian konfiguracji czy tworzenia kont uprzywilejowanych.
Chociaż klasyfikacja CVSS v4.0 przyznaje temu problemowi ocenę 6.3 (medium) ze względu na wymóg lokalnego dostępu i interakcji użytkownika, to wpływ na poufność, integralność i dostępność systemu jest wysoki – skuteczne wykorzystanie luki prowadzi do całkowitego przejęcia systemu.
Szczegóły techniczne i kontekst działania instalatora
- Moduł podatny na atak: instalator MSI klienta WatchGuard Mobile VPN with IPSec dla Windows – komponent odpowiedzialny za instalację, aktualizację i deinstalację VPN.
- Cel ataku: uruchomione tymczasowe procesy cmd.exe działające jako SYSTEM.
- Exploitacja: interaktywne okna wiersza poleceń na starszych wersjach Windows, które mogą zostać przejęte przez lokalnego użytkownika.
- Skutki: eskalacja uprawnień, całkowita kompromitacja systemu, możliwość obejścia kontroli administratorskich.
- Brak obejść (workaround): producent wyraźnie zaznacza, iż nie ma znanych obejść – jedynym zabezpieczeniem jest aktualizacja.
Podatne wersje systemu i aktualizacje zabezpieczające
Podatność dotyczy klienta WatchGuard Mobile VPN with IPSec dla Windows w wersjach do 15.19 włącznie (uwzględniając różne buildy dostarczone przez NCP).
WatchGuard wraz z NCP Engineering wydała zaktualizowaną wersję klienta oznaczoną jako 15.33, w której zabezpieczono instalator, eliminując wyświetlanie interaktywnych okien wiersza poleceń z uprawnieniami SYSTEM.
Zalecenia:
- Natychmiastowa aktualizacja wszystkich instalacji klienta VPN do wersji 15.33 lub nowszej.
- Inwentaryzacja urządzeń z zainstalowaną starszą wersją klienta – zwłaszcza w środowiskach korporacyjnych i zarządzanych.
- Monitorowanie logów systemowych i alertów EDR pod względem podejrzanych działań związanych z eskalacjami uprawnień w procesach instalacyjnych.
Znaczenie dla organizacji i bezpieczeństwa końcówek
Choć wektor ataku wymaga lokalnego dostępu, problem ten jest szczególnie groźny w środowiskach, gdzie użytkownicy nie posiadają pełnych uprawnień administracyjnych, a oprogramowanie VPN jest powszechnie instalowane na urządzeniach końcowych. Umożliwienie eskalacji uprawnień SYSTEM może pozwolić osobom o niskich uprawnieniach lub potencjalnym złośliwym insiderom na obejście zabezpieczeń i podporządkowanie sobie kluczowych systemów.
Dodatkowo, ze względu na serwisowanie VPN – które często odbywa się zdalnie – luka ta może być trudna do wykrycia bez adekwatnego monitoringu i aktualizacji systemu w cyklach patch managementu.
