Najnowsze ostrzeżenia bezpieczeństwa ujawniają istotną podatność w WatchGuard Mobile VPN with IPSec Client dla Windows, która może umożliwić lokalnym użytkownikom wykonanie dowolnych poleceń z najwyższymi uprawnieniami SYSTEM, w efekcie całkowicie kompromitując system operacyjny. Błąd został oficjalnie opublikowany jako WatchGuard Advisory WGSA-2026-00002 (jest również identyfikowany jako NCPVE-2025-0626) i dotyczy komponentu instalacyjnego dostarczonego przez firmę NCP Engineering, używanego przez klienta VPN.

Autor: 4 min czytania

Co dokładnie się stało – mechanizm luki

Podatność wynika z nieprawidłowego zachowania instalatora MSI podczas instalowania, aktualizowania lub usuwania klienta VPN. W tych momentach instalator czasowo uruchamia procesy cmd.exe działające w kontekście konta SYSTEM – najwyższego poziomu uprawnień w systemie Windows.

Na starszych wersjach Windows okna wiersza poleceń są interaktywne i widoczne dla użytkownika. W takiej sytuacji lokalny atakujący może przechwycić otwarte okno cmd.exe i wykonać dowolne polecenia, które zostaną uruchomione z uprawnieniami SYSTEM. Oznacza to potencjalne obejście mechanizmów ochrony systemu, takich jak polityki kontrolowane przez administratora, a także możliwość modyfikacji plików systemowych, instalowania złośliwego oprogramowania, zmian konfiguracji czy tworzenia kont uprzywilejowanych.

Chociaż klasyfikacja CVSS v4.0 przyznaje temu problemowi ocenę 6.3 (medium) ze względu na wymóg lokalnego dostępu i interakcji użytkownika, to wpływ na poufność, integralność i dostępność systemu jest wysoki – skuteczne wykorzystanie luki prowadzi do całkowitego przejęcia systemu.

Szczegóły techniczne i kontekst działania instalatora

  • Moduł podatny na atak: instalator MSI klienta WatchGuard Mobile VPN with IPSec dla Windows – komponent odpowiedzialny za instalację, aktualizację i deinstalację VPN.
  • Cel ataku: uruchomione tymczasowe procesy cmd.exe działające jako SYSTEM.
  • Exploitacja: interaktywne okna wiersza poleceń na starszych wersjach Windows, które mogą zostać przejęte przez lokalnego użytkownika.
  • Skutki: eskalacja uprawnień, całkowita kompromitacja systemu, możliwość obejścia kontroli administratorskich.
  • Brak obejść (workaround): producent wyraźnie zaznacza, że nie ma znanych obejść – jedynym zabezpieczeniem jest aktualizacja.

Podatne wersje oprogramowania i aktualizacje zabezpieczające

Podatność dotyczy klienta WatchGuard Mobile VPN with IPSec dla Windows w wersjach do 15.19 włącznie (uwzględniając różne buildy dostarczone przez NCP).

WatchGuard wraz z NCP Engineering wydała zaktualizowaną wersję klienta oznaczoną jako 15.33, w której zabezpieczono instalator, eliminując wyświetlanie interaktywnych okien wiersza poleceń z uprawnieniami SYSTEM.

Zalecenia:

  • Natychmiastowa aktualizacja wszystkich instalacji klienta VPN do wersji 15.33 lub nowszej.
  • Inwentaryzacja urządzeń z zainstalowaną starszą wersją klienta – zwłaszcza w środowiskach korporacyjnych i zarządzanych.
  • Monitorowanie logów systemowych i alertów EDR pod względem podejrzanych działań związanych z eskalacjami uprawnień w procesach instalacyjnych.

Znaczenie dla organizacji i bezpieczeństwa końcówek

Choć wektor ataku wymaga lokalnego dostępu, problem ten jest szczególnie groźny w środowiskach, gdzie użytkownicy nie posiadają pełnych uprawnień administracyjnych, a oprogramowanie VPN jest powszechnie instalowane na urządzeniach końcowych. Umożliwienie eskalacji uprawnień SYSTEM może pozwolić osobom o niskich uprawnieniach lub potencjalnym złośliwym insiderom na obejście zabezpieczeń i podporządkowanie sobie kluczowych systemów.

Dodatkowo, ze względu na serwisowanie VPN – które często odbywa się zdalnie – luka ta może być trudna do wykrycia bez właściwego monitoringu i aktualizacji oprogramowania w cyklach patch managementu.