Af Eskil Sørensen, 31/10/22
Cisco advarer om aktive udnyttelsesforsøg rettet mod et par to år gamle sikkerhedsfejl i Cisco AnyConnect Secure Mobility Client til Windows. Det skriver The Hacker News.
Sårbarhederne har id’erne CVE-2020-3153 (CVSS-score: 6,5) og CVE-2020-3433 (CVSS-score: 7,8) og kan gøre det muligt for lokalt autentificerede angribere at udføre DLL-kapring og kopiere vilkårlige filer til systemmapper med forhøjede rettigheder.
Sårbarhederne blev behandlet allerede i hhv. februar 2020 og august 2020, men her i oktober er Ciscos såkaldte Product Security Incident Response Team blevet opmærksom på forsøg på udnyttelse af sårbarheden in-the-wild, som det fremgår af en sikkerhedsmelding fra Cisco. I meddelelsen anbefaler Cisco ’kraftigt’, at kunder opgraderer for at afhjælpe sårbarheden. Også Center for Cybersikkerhed har udsendt et varsel om sårbarheden og anbefalet anvendelse af senest opdaterede version.
Artiklen i The Hacker News kommer i forlængelse af, at CISA den 24. oktober tilføjede sårbarhederne til KEV-listen – altså listen over kendte udnyttede sårbarheder. I samme forbindelse blev fire fejl i GIGABYTE tilføjet til listen. Disse blev rettet i maj 2020, og de gør det muligt for en angriber at eskalere ondsindede rettigheder og tage fuldstændig kontrol over et berørt system.
Sårbarhederne er også aktualiseret af en rapport, som sikkerhedsfirmaet Group-IB fra Singapore har udgivet. Heri beskrives de taktikker, som en russisktalende ransomware-gruppe ved navn OldGremlin har taget i anvendelse i sine angreb. Det fremgår af rapporten af blandt de vigtigste metoder er en kombinationsudnyttelse af Cisco AnyConnect-fejl til indledende adgang og så udnyttelse af GIGABYTE-driversvaghederne til afvæbning af sikkerhedssoftware.
Sidstnævnte skulle også været anvendt af BlackByte ransomware-gruppen.
Links:
https://thehackernews.com/2022/10/hackers-actively-exploiting-cisco.html
https://www.cfcs.dk/da/handelser/varsler/sarbarheder-i-cisco-anyconnect/