Поделиться
Хакеры оседлали бреши в ПО Cisco, которые никто не замечал 2 года
Ставшими проблемными баги в Cisco AnyConnect Secure Mobility Client известны уже два года, но только сейчас их начали эксплуатировать, причем достаточно активно, чтобы вынудить CISA обратить пристальное внимание на эту проблему.
Критические, но с ограничениями
Компания Cisco опубликовала предупреждение для пользователей своих продуктов о двух уязвимостях, активно эксплуатируемых хакерами.
Обе уязвимости выявлены в клиентском ПО продукта под названием Cisco AnyConnect Secure Mobility Client. Эта разработка упрощает доступ к конечным точкам внутри корпоративной инфраструктуры и позволяет работникам подключаться к ресурсам компании откуда угодно через VPN-соединение с поддержкой SSL и IPsecIKEv2.
Уязвимости с индексами CVE-2020-3433 и CVE-2020-3153 позволяют злоумышленникам, получившим локальный доступ к устройствам, производить перехват DLL (DLL hijacking), что открывает перед ними возможность копировать файлы в системные каталоги операционной системы (Windows) с максимальным уровнем привилегий.
В конечном счете это распахивает путь к запуску произвольного кода все с теми же привилегиями System.
Что смягчает ситуацию, так это то, что обе уязвимости требуют авторизации: злоумышленник должен иметь легитимный авторизованный доступ к машине жертвы. С другой стороны, прежде чем эксплуатировать уязвимости CVE-2020-3433 и CVE-2020-3153, злоумышленники могут воспользоваться другими уязвимостями, которые позволят повысить привилегии в системе.
Два года назад
Как нетрудно заметить по их индексам, обе уязвимости датированы 2020 г. Cisco выпустила патчи для них тогда же. Отдельный бюллетень с предупреждениями опубликован сейчас в связи с тем, что в октябре 2022 г. были отмечены первые попытки практической эксплуатации этих багов.
«Это также означает, что слишком многие установки Cisco AnyConnect Secure Mobility Client оставались два года без обновлений, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Так что даже странно, что атаки начались только сейчас. Возможно, это связано с появлением каких-то других уязвимостей, упрощающих эксплуатацию этих двух».
Пользователям уязвимого продукта настоятельно рекомендовано как можно скорее установить обновления. CISA (Агентство по кибербезопасности и защите инфраструктуры США) опубликовало свой отдельный бюллетень, в котором указывается, что эти уязвимости внесены в централизованный каталог.
Это означает, что все организации, находящиеся в подчинении исполнительных ветвей власти в США обязаны немедленно принять меры к устранению уязвимостей, если этого не было сделано раньше. Директива об этом была опубликована еще в ноябре 2021 г.
Теперь у федеральных учреждений есть время до 11 ноября 2022 г., чтобы решить проблему.
Короткая ссылка
