Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) πρόσθεσε δύο ελαττώματα προϊόντων Cisco και τέσσερα Gigabyte στον κατάλογό της για γνωστές εκμεταλλευόμενες ευπάθειες. Μόνο ένα από τα τρωτά σημεία της Gigabyte αναφέρθηκε προηγουμένως ότι εμπλέκεται σε επιθέσεις.
Τα τρωτά σημεία του προϊόντος της Cisco είναι CVE-2020-3433 και CVE-2020-3153, και επηρεάζουν και τα δύο το AnyConnect Secure Mobility Client για Windows. Μπορούν να χρησιμοποιηθούν από έναν τοπικό, πιστοποιημένο εισβολέα για την εκτέλεση αυθαίρετου κώδικα και την αντιγραφή αρχείων σε αυθαίρετες τοποθεσίες με αυξημένα δικαιώματα.
Λεπτομέρειες και κώδικας proof-of-concept (PoC) είναι διαθέσιμοι και για τα δύο ελαττώματα, αλλά το SecurityWeek δεν μπόρεσε να βρει δημόσιες αναφορές που να περιγράφουν την εκμετάλλευση των τρωτών σημείων. Οι συμβουλές της Cisco για τα CVE-2020-3433 και CVE-2020-3153 υποστηρίζουν επί του παρόντος ότι η εταιρεία δεν γνωρίζει κακόβουλη εκμετάλλευση.
Ωστόσο, η CISA διευκρίνισε στο παρελθόν ότι προσθέτει τρωτά σημεία στον κατάλογό μόνο εάν έχει αξιόπιστα στοιχεία εκμετάλλευσης. Επιπλέον, αυτή δεν είναι η μόνη φορά που η CISA προειδοποίησε πρώτη για την εκμετάλλευση ευπάθειας προϊόντος της Cisco.
Δεδομένου ότι οι δύο τρύπες ασφαλείας μπορούν να εκμεταλλευτούν μόνο ένας επιβεβαιωμένος εισβολέας, πιθανότατα αξιοποιούνται ως μέρος μιας πολύπλοκης επίθεσης πολλαπλών σταδίων.
Όσον αφορά τις ευπάθειες Gigabyte, επηρεάζουν τα προγράμματα οδήγησης χαμηλού επιπέδου GPCIDrv και GDrv στο Gigabyte App Center, τη μηχανή γραφικών Aorus, τη μηχανή παιχνιδιών Xtreme και το βοηθητικό πρόγραμμα OC Guru.
Τα τρωτά σημεία παρακολουθούνται ως CVE-2018-19323, CVE-2018-19322, CVE-2018-19321 και CVE-2018-19320 και μπορούν να επιτρέψουν σε έναν τοπικό εισβολέα να κλιμακώσει τα προνόμια και ενδεχομένως να πάρει τον πλήρη έλεγχο του συστήματος.
Ενώ τα σφάλματα έχουν CVE 2018, η Gigabyte είπε αρχικά στους ερευνητές που τα ανακάλυψαν ότι τα προϊόντα της δεν επηρεάστηκαν. Ο κατασκευαστής της μητρικής πλακέτας άλλαξε πορεία το 2020 και ανέλαβε δράση για να αντιμετωπίσει τα προβλήματα.
Ωστόσο, μέχρι τη στιγμή που η Gigabyte κυκλοφόρησε μια συμβουλή ασφαλείας για τα τρωτά σημεία, η Sophos είχε αναφέρει ότι ένα πρόγραμμα οδήγησης Gigabyte που επηρεάστηκε από το CVE-2018-19320 είχε γίνει αντικείμενο εκμετάλλευσης από το Robinhood ransomware για την αφαίρεση προϊόντων ασφαλείας από στοχευμένες συσκευές πριν από την κρυπτογράφηση αρχείων.
Δεν φαίνεται να υπάρχουν άλλες αναφορές που να περιγράφουν την εκμετάλλευση των τρωτών σημείων του προγράμματος οδήγησης Gigabyte, αλλά τεχνικές λεπτομέρειες, εκμεταλλεύσεις PoC και έγγραφα που περιγράφουν πώς μπορούν να οπλιστούν είναι δημόσια διαθέσιμα.
