Компания Cisco предупредила об активных попытках эксплуатации пары дефектов безопасности двухлетней давности в Cisco AnyConnect Secure Mobility Client для Windows.
Отслеживаемые как CVE-2020-3153 (рейтинг CVSS: 6.5) и CVE-2020-3433 (рейтинг CVSS: 7.8), уязвимости могут позволить авторизованным злоумышленникам локально выполнять перехват DLL и копировать произвольные файлы в системные каталоги с повышенными привилегиями.
В то время как CVE-2020-3153 была устранена компанией Cisco в феврале 2020 года, исправление для CVE-2020-3433 было выпущено в августе 2020 года.
«В октябре 2022 года команде Cisco Product Security Incident Response Team стало известно о дополнительных попытках эксплуатации этой уязвимости в кибератаках» - говорится в обновленном сообщении производителя сетевого оборудования.
«Cisco по-прежнему настоятельно рекомендует клиентам обновить программное обеспечение до исправленной версии, чтобы устранить эту уязвимость».
Предупреждение появилось после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило эти две уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), наряду с четырьмя ошибками в драйверах GIGABYTE, ссылаясь на свидетельства активного использования этих уязвимостей в реальных атаках.
Уязвимости, получившие идентификаторы CVE-2018-19320, CVE-2018-19321, CVE-2018-19322, и CVE-2018-19323 и исправленные в мае 2020 года, могут позволить злоумышленнику повысить привилегии и запустить вредоносный код для получения полного контроля над пораженной системой.
Данные события последовали за всеобъемлющим отчетом, опубликованным на прошлой неделе сингапурской компанией Group-IB, в котором подробно описывается тактика, принятая группой разработчиков программ-вымогателей под названием «OldGremlin» в своих атаках, направленных на предприятия, работающие в стране.
Главным среди методов получения первоначального доступа является эксплуатация вышеупомянутых недостатков Cisco AnyConnect, а также недостатков драйверов GIGABYTE, используемых для обезвреживания защитного программного обеспечения, последнее из которых также используется группировкой шифровальщиков BlackByte.
Источник: https://thehackernews.com
