Хакеры начали использовать уязвимости 2-летней давности в ПО Cisco
Обе уязвимости выявлены в клиентском ПО продукта под названием Cisco AnyConnect Secure Mobility Client. Эта разработка упрощает доступ к конечным точкам внутри корпоративной инфраструктуры и позволяет работникам подключаться к ресурсам компании откуда угодно через VPN-соединение с поддержкой SSL и IPsecIKEv2.
Уязвимости с индексами CVE-2020-3433 и CVE-2020-3153 позволяют злоумышленникам, получившим локальный доступ к устройствам, производить перехват DLL (DLL hijacking), что открывает перед ними возможность копировать файлы в системные каталоги операционной системы (Windows) с максимальным уровнем привилегий.
В конечном счете это распахивает путь к запуску произвольного кода все с теми же привилегиями System.
Что смягчает ситуацию, так это то, что обе уязвимости требуют авторизации: злоумышленник должен иметь легитимный авторизованный доступ к машине жертвы. С другой стороны, прежде чем эксплуатировать уязвимости CVE-2020-3433 и CVE-2020-3153, злоумышленники могут воспользоваться другими уязвимостями, которые позволят повысить привилегии в системе.
Как нетрудно заметить по их индексам, обе уязвимости датированы 2020 г. Cisco выпустила патчи для них тогда же. Отдельный бюллетень с предупреждениями опубликован сейчас в связи с тем, что в октябре 2022 г. были отмечены первые попытки практической эксплуатации этих багов.
Пользователям уязвимого продукта настоятельно рекомендовано как можно скорее установить обновления. CISA (Агентство по кибербезопасности и защите инфраструктуры США) опубликовало свой отдельный бюллетень, в котором указывается, что эти уязвимости внесены в централизованный каталог.
Это означает, что все организации, находящиеся в подчинении исполнительных ветвей власти в США обязаны немедленно принять меры к устранению уязвимостей, если этого не было сделано раньше. Директива об этом была опубликована еще в ноябре 2021 г.
Теперь у федеральных учреждений есть время до 11 ноября 2022 г., чтобы решить проблему.