美国网络安全及基础设施安全局(CISA)本周一(10/24),将思科(Cisco)于2020年修补的两个安全漏洞CVE-2020-3433与CVE-2020-3153,纳入“已知遭滥用漏洞”(Known Exploited Vulnerabilities)目录,显示这两个涉及AnyConnect Secure Mobility的安全漏洞已遭到黑客的实际利用。同一时间思科也更新了这两个漏洞的说明。
AnyConnect Secure Mobility为思科所打造的远程访问解决方案,宣称可让远程工作者拥有高度安全的访问权限,以通过任何设备访问企业网络并保护组织的安全。
这两个漏洞皆与AnyConnect的Windows客户端有关,其中的CVE-2020-3433允许已经身份认证的本地端黑客执行DLL挟持攻击,取得系统权限以执行任意程序,属于高风险漏洞。
CVE-2020-3153则是个不受控的路径搜索漏洞,黑客同样必须先通过身份认证,但可借由该漏洞以系统权限、将用户所提供的文件复制至系统目录,只被列为中度漏洞。
思科是在2020年2月修补CVE-2020-3153,于2020年的8月修补CVE-2020-3433,在修补的当下并未发现任何攻击行动,只是已有CVE-2020-3433的概念性验证攻击程序。
不过,思科本周同步更新了这两个安全漏洞的说明,指出已有黑客正试图滥用这两个安全漏洞。
CISA除了要求美国联邦机构必须在今年11月14日修补相关安全漏洞之外,也建议所有企业或组织展开修补以策安全。
