Cisco advirtió sobre intentos de explotación activos dirigidos a un par de fallas de seguridad de dos años en Cisco AnyConnect Secure Mobility Client para Windows.
rastreado como CVE-2020-3153 (puntuación CVSS: 6.5) y CVE-2020-3433 (puntuación CVSS: 7,8), las vulnerabilidades podrían permitir a los atacantes locales autenticados realizar el secuestro de DLL y copiar archivos arbitrarios a los directorios del sistema con privilegios elevados.
Si bien Cisco abordó CVE-2020-3153 en febrero de 2020, se envió una solución para CVE-2020-3433 en agosto de 2020.
«En octubre de 2022, el equipo de respuesta a incidentes de seguridad de productos de Cisco se dio cuenta de un intento adicional de explotación de esta vulnerabilidad en la naturaleza», dijo el fabricante de equipos de red en un aviso actualizado.
«Cisco continúa recomendando encarecidamente que los clientes actualicen a una versión de software fija para remediar esta vulnerabilidad».
La alerta se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) se movió para agregar las dos fallas a sus Vulnerabilidades Explotadas Conocidas (KEV), junto con cuatro errores en los controladores de GIGABYTE, citando evidencia de abuso activo en la naturaleza.
Las vulnerabilidades — asignados los identificadores CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 y CVE-2018-19323y parcheado en mayo de 2020, podría permitir que un atacante aumente los privilegios y ejecute código malicioso para tomar el control completo de un sistema afectado.
El desarrollo también sigue a un informe completo publicado por Group-IB con sede en Singapur la semana pasada que detalla las tácticas adoptadas por un grupo de ransomware de habla rusa denominado OldGremlin en sus ataques dirigidos a entidades que operan en el país.
El principal de sus métodos para obtener acceso inicial es la explotación de las fallas de Cisco AnyConnect mencionadas anteriormente, con las debilidades del controlador GIGABYTE empleadas para desarmar el software de seguridad, el último de los cuales también ha sido utilizado por el grupo de ransomware BlackByte.