Les pirates exploitent activement les vulnérabilités des pilotes Cisco AnyConnect et GIGABYTE


Cisco a mis en garde contre des tentatives d’exploitation actives ciblant une paire de failles de sécurité vieilles de deux ans dans Cisco AnyConnect Secure Mobility Client pour Windows.

Suivi comme CVE-2020-3153 (score CVSS : 6,5) et CVE-2020-3433 (score CVSS : 7,8), les vulnérabilités pourraient permettre à des attaquants locaux authentifiés d’effectuer des détournements de DLL et de copier des fichiers arbitraires dans des répertoires système avec des privilèges élevés.

Alors que CVE-2020-3153 a été corrigé par Cisco en février 2020, un correctif pour CVE-2020-3433 a été livré en août 2020.

« En octobre 2022, l’équipe de réponse aux incidents de sécurité des produits Cisco a pris connaissance d’une nouvelle tentative d’exploitation de cette vulnérabilité dans la nature », a déclaré le fabricant d’équipements de réseau dans un avis mis à jour.

« Cisco continue de recommander fortement aux clients de mettre à niveau vers une version logicielle fixe pour remédier à cette vulnérabilité. »

L’alerte survient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a décidé d’ajouter les deux failles à ses vulnérabilités exploitées connues (KEV) catalogue, aux côtés de quatre bogues dans les pilotes GIGABYTE, citant des preuves d’abus actifs dans la nature.

Les vulnérabilités — attribuées aux identifiants CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 et CVE-2018-19323et corrigé en mai 2020 – pourrait permettre à un attaquant d’élever ses privilèges et d’exécuter un code malveillant pour prendre le contrôle total d’un système affecté.

La cyber-sécurité

Le développement fait également suite à un rapport complet publié la semaine dernière par Group-IB, basé à Singapour, détaillant les tactiques adoptées par un groupe de rançongiciels russophone surnommé OldGremlin dans ses attaques visant des entités opérant dans le pays.

La principale de ses méthodes pour obtenir un accès initial est l’exploitation des failles Cisco AnyConnect susmentionnées, avec les faiblesses du pilote GIGABYTE utilisées pour désarmer le logiciel de sécurité, ce dernier ayant également été utilisé par le groupe de rançongiciels BlackByte.



ttn-fr-57