Хакеры используют уязвимости драйверов Cisco AnyConnect и GIGABYTE

27 октября 2022 г. 10:05
 490

Cisco предупредила об активных попытках эксплуатации пары дефектов безопасности.

Компания Cisco предупредила об активных попытках эксплуатации пары дефектов безопасности двухлетней давности в Cisco AnyConnect Secure Mobility Client для Windows.

Отслеживаемые как CVE-2020-3153 (рейтинг CVSS: 6.5) и CVE-2020-3433 (рейтинг CVSS: 7.8), уязвимости могут позволить авторизованным злоумышленникам локально выполнять перехват DLL и копировать произвольные файлы в системные каталоги с повышенными привилегиями.

В то время как CVE-2020-3153 была устранена компанией Cisco в феврале 2020 года, исправление для CVE-2020-3433 было выпущено в августе 2020 года.

«В октябре 2022 года команде Cisco Product Security Incident Response Team стало известно о дополнительных попытках эксплуатации этой уязвимости в кибератаках» - говорится в обновленном сообщении производителя сетевого оборудования.

«Cisco по-прежнему настоятельно рекомендует клиентам обновить программное обеспечение до исправленной версии, чтобы устранить эту уязвимость».

Предупреждение появилось после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило эти две уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), наряду с четырьмя ошибками в драйверах GIGABYTE, ссылаясь на свидетельства активного использования этих уязвимостей в реальных атаках.

Уязвимости, получившие идентификаторы CVE-2018-19320, CVE-2018-19321, CVE-2018-19322, и CVE-2018-19323 и исправленные в мае 2020 года, могут позволить злоумышленнику повысить привилегии и запустить вредоносный код для получения полного контроля над пораженной системой.

Данные события последовали  за всеобъемлющим отчетом, опубликованным на прошлой неделе сингапурской компанией Group-IB, в котором подробно описывается тактика, принятая группой разработчиков программ-вымогателей под названием «OldGremlin» в своих атаках, направленных на предприятия, работающие в стране.

Главным среди методов получения первоначального доступа является эксплуатация вышеупомянутых недостатков Cisco AnyConnect, а также недостатков драйверов GIGABYTE, используемых для обезвреживания защитного программного обеспечения, последнее из которых также используется группировкой шифровальщиков BlackByte.

 

Источник: https://thehackernews.com

Системы Информационной Безопасности