Cisco, Windows için Cisco AnyConnect Güvenli Mobilite İstemcisi’ndeki iki yıllık bir çift güvenlik açığını hedef alan aktif istismar girişimleri konusunda uyardı.
CVE-2020-3153 (CVSS puanı: 6.5) ve CVE-2020-3433 (CVSS puanı: 7.8) olarak izlenen güvenlik açıkları, yerel kimliği doğrulanmış saldırganların DLL ele geçirmesini ve yükseltilmiş ayrıcalıklara sahip sistem dizinlerine rastgele dosyaları kopyalamasını sağlayabilir.
CVE-2020-3153, Cisco tarafından Şubat 2020’de ele alınırken, Ağustos 2020’de CVE-2020-3433 için bir düzeltme gönderildi.
Ağ ekipmanı üreticisi, güncellenmiş bir danışma belgesinde, “Ekim 2022’de Cisco Ürün Güvenliği Olay Müdahale Ekibi, bu güvenlik açığından vahşi doğada yararlanmaya yönelik ek girişimlerin farkına vardı,” dedi.
“Cisco, müşterilerin bu güvenlik açığını gidermek için sabit bir yazılım sürümüne yükseltmelerini şiddetle tavsiye etmeye devam ediyor.”
Uyarı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), GIGABYTE sürücülerindeki dört hatanın yanı sıra, bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğuna iki kusuru, vahşi ortamda aktif kötüye kullanım kanıtlarını öne sürerek eklemeye başlamasıyla geldi.
CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 ve CVE-2018-19323 tanımlayıcıları atanan ve Mayıs 2020’de yamalanan güvenlik açıkları, bir saldırganın ayrıcalıkları yükseltmesine ve kötü amaçlı kod çalıştırmasına izin verebilir etkilenen bir sistemin tam kontrolünü ele geçirmek için.
Gelişme aynı zamanda Singapur merkezli Group-IB tarafından geçen hafta yayınlanan ve OldGremlin adlı Rusça konuşan bir fidye yazılımı grubunun ülkede faaliyet gösteren kuruluşlara yönelik saldırılarında benimsediği taktikleri detaylandıran kapsamlı bir raporun ardından geldi.
İlk erişim elde etme yöntemlerinin başında, güvenlik yazılımını devre dışı bırakmak için kullanılan GIGABYTE sürücü zayıflıkları ile yukarıda belirtilen Cisco AnyConnect kusurlarından yararlanılması yer alır, ikincisi de BlackByte fidye yazılımı grubu tarafından kullanıma sunulmuştur.