بهره‌برداری هکرها به‌طور فعال از آسیب‌پذیری‌های Cisco AnyConnect (سیسکو) و گیگابایت درایورها

سیسکو درباره تلاش‌های بهره‌برداری فعال با هدف قرار دادن یک جفت نقص امنیتی دوساله درCisco AnyConnect Secure Mobility Client برای ویندوز هشدار داده است.

این آسیب‌پذیری‌ها که به‌عنوان CVE-2020-3153 (با امتیاز ۵/۶ در مقیاس CVSS) و CVE-2020-3433 (با امتیاز ۸/۷ در مقیاس CVSS) ردیابی می‌شوند، می‌توانند مهاجمان تأییدشده محلی را قادر به انجام ربودن DLL و کپی فایل‌های دلخواه در فهرست‌های سیستم با امتیازات بالا کنند.

درحالی‌که CVE-2020-3153 توسط سیسکو در فوریه ۲۰۲۰ موردبررسی قرار گرفت، یک اصلاح برای CVE-2020-3433 در اوت ۲۰۲۰ ارسال شد.

این سازنده تجهیزات شبکه در گزارشی به‌روز شده در این باره گفت: “در اکتبر ۲۰۲۲، تیم پاسخگویی به حوادث امنیتی محصول سیسکو از تلاش‌های بیشتر برای بهره‌برداری از این آسیب‌پذیری در سطح اینترنت آگاه شد.”

سیسکو همچنان قویاً توصیه می‌کند که مشتریان برای رفع این آسیب‌پذیری، نسخه نرم‌افزاری ثابت را ارتقا دهند.»

این هشدار زمانی منتشر می‌شود که آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) با استناد به شواهدی مبنی بر بهره‌برداری فعال در سطح اینترنت، این دو نقص را به کاتالوگ آسیب‌پذیری‌های مورد سوءاستفاده شناخته‌شده (KEV) اضافه می‌کند[۱].

این آسیب‌پذیری‌ها، که شناسه‌های CVE-2018-19320 ،CVE-2018-19321 ،CVE-2018-19322 و CVE-2018-19323 اختصاص داده‌شده[۲] و در می ۲۰۲۰ وصله شده‌اند، می‌توانند به یک مهاجم اجازه اجرای کدهای مخرب را بدهند و کنترل کامل یک سیستم آسیب‌دیده را در دست بگیرید.

این توسعه همچنین به دنبال گزارش جامعی است که هفته گذشته توسط گروه IB مستقر در سنگاپور منتشر شد و جزئیات تاکتیک‌های اتخاذشده توسط یک گروه باج‌افزار روسی‌زبان موسوم به OldGremlin را در حملات خود به نهادهای فعال در این کشور ارائه کرد[۳].

مهم‌ترین روش آن برای دستیابی به دسترسی اولیه، بهره‌برداری از نقص‌های ذکرشده Cisco AnyConnect است، با ضعف درایور گیگابایت که برای خلع سلاح نرم‌افزار امنیتی استفاده می‌شود، که دومی نیز توسط گروه باج افزار BlackByte مورداستفاده قرار گرفته است[۴].

منابع

[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۲] https://www.gigabyte.com/Support/Security/1801

[۳] https://thehackernews.com/2022/10/oldgremlin-ransomware-targeted-over.html

[۴] https://thehackernews.com/2022/10/blackbyte-ransomware-abuses-vulnerable.html

[۵] https://thehackernews.com/2022/10/hackers-actively-exploiting-cisco.html