Cisco đã cảnh báo về những nỗ lực khai thác tích cực nhắm vào một cặp lỗi bảo mật hai năm tuổi trong Cisco AnyConnect Secure Mobility Client dành cho Windows.
Được theo dõi dưới dạng CVE-2020-3153 (điểm CVSS: 6.5) và CVE-2020-3433 (điểm CVSS: 7.8), các lỗ hổng có thể cho phép kẻ tấn công xác thực cục bộ thực hiện chiếm đoạt DLL và sao chép các tệp tùy ý vào thư mục hệ thống với đặc quyền nâng cao.
Trong khi CVE-2020-3153 đã được Cisco giải quyết vào tháng 2 năm 2020, một bản sửa lỗi cho CVE-2020-3433 đã được xuất xưởng vào tháng 8 năm 2020.
"Vào tháng 10 năm 2022, Nhóm Ứng phó Sự cố Bảo mật Sản phẩm của Cisco đã nhận thức được việc cố gắng khai thác thêm lỗ hổng này trong tự nhiên," nhà sản xuất thiết bị mạng cho biết trong một lời khuyên cập nhật.
"Cisco tiếp tục khuyến nghị mạnh mẽ rằng khách hàng nên nâng cấp lên một bản phát hành phần mềm cố định để khắc phục lỗ hổng này."
Cảnh báo được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) chuyển sang thêm hai lỗ hổng vào danh mục Các lỗ hổng đã khai thác (KEV), cùng với bốn lỗi trong trình điều khiển GIGABYTE, trích dẫn bằng chứng về sự lạm dụng tích cực trong tự nhiên.
Các lỗ hổng -- đã gán các mã định danh CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 và CVE-2018-19323 và được vá vào tháng 5 năm 2020 -- có thể cho phép kẻ tấn công leo thang đặc quyền và chạy mã độc để kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
Diễn biến này cũng diễn ra sau một báo cáo toàn diện do Group-IB có trụ sở tại Singapore công bố vào tuần trước nêu chi tiết các chiến thuật được áp dụng bởi một nhóm ransomware nói tiếng Nga có tên OldGremlin trong các cuộc tấn công nhằm vào các thực thể hoạt động ở nước này.
Chủ yếu trong số các phương pháp của nó để có được quyền truy cập ban đầu là khai thác các lỗ hổng Cisco AnyConnect đã nêu ở trên, với các điểm yếu của trình điều khiển GIGABYTE được sử dụng để giải giáp phần mềm bảo mật, phần mềm sau này cũng đã được nhóm ransomware BlackByte đưa vào sử dụng.