黑客积极利用思科Anyconnect和千兆驱动程序漏洞

思科已经警告说，针对Cisco AnyConnect Secure Mobility Client for Windows中的一对两年前的安全缺陷进行了积极的攻击。

跟踪到CVE – 2020 – 3153 ( CVSS评分: 6.5分)和CVE – 2020 – 3433 ( CVSS评分: 7.8分)，这些漏洞可使本地身份验证的攻击者执行DLL劫持并将任意文件复制到权限提升的系统目录。

虽然思科在2020年2月推出了CVE – 2020 – 3153，但在2020年8月推出了CVE – 2020 – 3433。

” 2022年10月，思科产品安全事件响应团队意识到在野外进一步利用这一漏洞的企图”，网络设备制造商在最新的咨询中说。

  “思科继续强烈建议客户升级到固定软件版本，以弥补这一漏洞”。

这一警报是在美国网络安全和基础设施安全局( CISA )采取行动，将这两个缺陷添加到其已知的被利用的漏洞( KEV )目录中，同时在千兆字节驱动中出现了4个错误，并列举了在野外积极滥用的证据。

这些漏洞——分配了标识符CVE – 2018 – 19320、CVE – 2018 – 19321、CVE – 2018 – 19322和CVE – 2018 – 19323，并在2020年5月进行了修补——可能允许攻击者提升权限并运行恶意代码以完全控制受影响的系统。

此前，总部位于新加坡的IB集团( Group-IB )上周发布了一份全面报告，详述了一家名为奥德格林林( OldGremlin )的讲俄语勒索软件集团针对在该国运营的实体发动袭击时所采取的策略。

其获得初始访问权限的主要方法是利用上述Cisco AnyConnect缺陷，使用千兆字节驱动弱点解除安全软件的武装，后者也已被BlackByte勒索软件组使用。