Cisco đã cảnh báo về những nỗ lực khai thác tích cực nhắm vào một cặp lỗi bảo mật hai năm tuổi trong Ứng dụng khách di động an toàn Cisco AnyConnect dành cho Windows.
Được theo dõi là CVE-2020-3153 (điểm CVSS: 6,5) và CVE-2020-3433 (điểm CVSS: 7,8), các lỗ hổng có thể cho phép những kẻ tấn công được xác thực cục bộ thực hiện chiếm quyền điều khiển DLL và sao chép các tệp tùy ý vào thư mục hệ thống với các đặc quyền nâng cao.
Trong khi CVE-2020-3153 được Cisco giải quyết vào tháng 2 năm 2020, bản sửa lỗi cho CVE-2020-3433 đã được xuất xưởng vào tháng 8 năm 2020.
“Vào tháng 10 năm 2022, Nhóm ứng phó sự cố về bảo mật sản phẩm của Cisco đã biết về việc cố gắng khai thác thêm lỗ hổng bảo mật này một cách tự nhiên”, nhà sản xuất thiết bị mạng cho biết trong một lời khuyên cập nhật.
“Cisco tiếp tục khuyến nghị khách hàng nâng cấp lên bản phát hành phần mềm cố định để khắc phục lỗ hổng bảo mật này.”
Cảnh báo được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) chuyển sang bổ sung hai lỗ hổng này vào danh mục Các lỗ hổng được khai thác đã biết (KEV), cùng với bốn lỗi trong trình điều khiển GIGABYTE, trích dẫn bằng chứng về việc lạm dụng đang hoạt động.
Các lỗ hổng – được gán các mã nhận dạng CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 và CVE-2018-19323 và được vá vào tháng 5 năm 2020 – có thể cho phép kẻ tấn công nâng cao đặc quyền và chạy mã độc hại để kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
Sự phát triển này cũng theo sau một báo cáo toàn diện do Group-IB có trụ sở tại Singapore công bố vào tuần trước nêu chi tiết các chiến thuật được một nhóm ransomware nói tiếng Nga có tên là OldGremlin áp dụng trong các cuộc tấn công nhằm vào các thực thể hoạt động trong nước.
Đứng đầu trong số các phương pháp để đạt được quyền truy cập ban đầu là việc khai thác các lỗ hổng Cisco AnyConnect đã nêu ở trên, với các điểm yếu của trình điều khiển GIGABYTE được sử dụng để giải mã phần mềm bảo mật, phần mềm này cũng đã được nhóm ransomware Blackyy đưa vào sử dụng.
