AWS Client VPN爆資安漏洞 駭客恐奪走電腦最高權限!
記者孫敬/編譯
亞馬遜網路服務(AWS)近日揭露旗下Windows版AWS Client VPN軟體,存在一項名為CVE-2025-8069資安漏洞,駭客可藉此進一步提升權限,並以系統管理員的最高權限執行惡意程式,最新修補現已更新上架AWS官網。
延伸閱讀:達賴喇嘛生日前夕爆資安危機!中國駭客組織鎖定藏人網站散播惡意軟體

駭客誘使安裝過程出問題,並趁機奪取使用者權限
這次的漏洞主要鎖定AWS Client VPN在Windows裝置上的安裝過程。問題出在軟體設計上的瑕疵,在安裝時,它會參考一個特定的路徑 C:\usr\local\windows-x86_64-openssl-localbuild\ssl 來讀取OpenSSL的設定檔。
駭客的攻擊手法,面對非管理員權限的使用者,也能在這個特定位置的OpenSSL設定檔中,偷偷植入惡意程式碼,一旦有管理員身分的使用者接著啟動AWS Client VPN的安裝程序,設定檔中嵌入的惡意程式碼就會以 「根級」(root-level)最高權限執行。
此漏洞影響AWS Client VPN 的4.1.0、5.0.0、5.0.1、5.0.2、5.1.0、5.2.0和5.2.1版本,已知該漏洞僅影響Windows裝置,Linux和macOS版現無傳出消息。AWS已針對此漏洞釋出修補程式,並將新版本命名為AWS Client VPN Client 5.2.2。
AWS強烈建議所有組織立即停止在Windows系統上安裝任何5.2.2版本之前的AWS Client VPN,以避免潛在的攻擊風險。系統管理員應優先將軟體更新到已修補的版本,尤其是在有多個使用者共用Windows系統、且該系統運行AWS Client VPN的環境中,更應特別留意。
瀏覽 3,162 次