黑客积极利用Cisco AnyConnect和GIGABYTE驱动程序漏洞

Cisco警告称，针对Cisco AnyConnect Secure Mobility Client for Windows中两个两年前的安全漏洞，有人试图进行主动攻击。

该漏洞被追踪为CVE-2020-3153（CVSS得分：6.5）和CVE-2020-2433（CVSS评分：7.8），可使经过身份验证的本地攻击者执行DLL劫持并以提升的权限将任意文件复制到系统目录。

尽管2020年2月思科解决了CVE-2020-3153问题，但2020年8月发布了针对CVE-2020-2433的修复程序。

“2022年10月，思科产品安全事件响应团队意识到有人试图在野外利用该漏洞，”该网络设备制造商在更新的咨询中表示。

“Cisco继续强烈建议客户升级到固定软件版本以修复此漏洞”。

发出警报之际，美国网络安全与基础设施安全局（CISA）正着手将这两个漏洞添加到其已知漏洞（KEV）目录中，并引用了GIGABYTE驱动程序中的四个漏洞，以证明存在野生滥用行为。

这些漏洞（分配了标识符CVE-2018-19320、CVE-2018-19321、CVE-2018-19322和CVE-2018-19323，并于2020年5月修补）可能允许攻击者升级权限并运行恶意代码以完全控制受影响的系统。

新加坡IB集团上周发布了一份综合报告，详细介绍了一个名为OldGremlin的俄语勒索软件集团针对在该国运营的实体所采取的攻击策略。

其获得初始访问的主要方法是利用上述Cisco AnyConnect缺陷，利用GIGABYTE驱动程序弱点来解除安全软件的防护，后者也被BlackByte勒索软件集团使用。