CISA heeft Amerikaanse federale agentschappen gewaarschuwd om hun systemen te beveiligen tegen aanvallen die misbruik maken van kwetsbaarheden in Cisco- en Windows-systemen.

Hoewel het agentschap voor cyberbeveiliging deze gebreken heeft gemarkeerd als actief geëxploiteerd, heeft het nog geen specifieke details verstrekt over deze kwaadaardige activiteiten en wie erachter zitten.

Het eerste gebrek (bijgehouden als CVE-2023-20118) stelt aanvallers in staat om willekeurige opdrachten uit te voeren op RV016, RV042, RV042G, RV082, RV320 en RV325 VPN-routers. Hoewel hiervoor geldige beheerdersreferenties nodig zijn, kan dit toch worden bereikt door de CVE-2023-20025-authenticatiebypass te koppelen, die rootprivileges biedt.

Cisco zegt in een advies gepubliceerd in januari 2023 en een jaar later bijgewerkt, dat zijn Product Security Incident Response Team (PSIRT) op de hoogte is van de openbaar beschikbare proof-of-concept-exploitcode voor CVE-2023-20025.

De tweede beveiligingsfout (CVE-2018-8639) is een Win32k-privilege-escalatie dat lokale aanvallers die zijn ingelogd op het doelsysteem kunnen uitbuiten om willekeurige code in kernmodus uit te voeren. Succesvolle exploitatie stelt hen ook in staat gegevens te wijzigen of illegale accounts met volledige gebruikersrechten aan te maken om kwetsbare Windows-apparaten over te nemen.

Volgens een beveiligingsadvies van Microsoft uitgebracht in december 2018 heeft deze kwetsbaarheid impact op clientplatformen (Windows 7 of later) en serverplatformen (Windows Server 2008 en hoger).

Vandaag heeft CISA de twee kwetsbaarheden toegevoegd aan zijn catalogus van Bekende Uitgebuite Kwetsbaarheden, die beveiligingsfouten vermeldt die door het agentschap zijn gemarkeerd als geëxploiteerd in aanvallen. Zoals voorgeschreven door de Bindende Operationele Richtlijn (BOD) 22-01 uitgegeven in november 2021, hebben federale burgerlijke uitvoerende afdelingen (FCEB) nu drie weken de tijd, tot 23 maart, om hun netwerken te beveiligen tegen voortdurende exploitatie.

“Dit soort kwetsbaarheden zijn vaak bepalende aanvalsmethoden voor kwaadaardige cyberacteurs en vormen aanzienlijke risico’s voor de federale onderneming,” zei CISA vandaag.

Microsoft en Cisco hebben hun beveiligingsadviezen nog niet bijgewerkt sinds CISA de twee kwetsbaarheden als actief geëxploiteerd in aanvallen heeft gemarkeerd.

Begin februari kondigde CISA ook aan dat een kritieke remote code execution (RCE) kwetsbaarheid in Microsoft Outlook (CVE-2024-21413) nu wordt geëxploiteerd in lopende aanvallen en beval federale agentschappen hun systemen voor 27 februari te patchen.