Η Cisco προειδοποίησε τους διαχειριστές να επιδιορθώσουν μια κρίσιμη ευπάθεια Cisco Smart Licensing Utility (CSLU), η οποία εκθέτει έναν ενσωματωμένο λογαριασμό διαχειριστή backdoor που χρησιμοποιείται τώρα σε επιθέσεις.
Το CSLU είναι μια εφαρμογή Windows για τη διαχείριση των αδειών και των συνδεδεμένων προϊόντων σε εγκαταστάσεις χωρίς να τα συνδέει με τη λύση Smart Software Manager της Cisco.
Η Cisco έβαλε το Σεπτέμβριο αυτό το Σεπτέμβριο, περιγράφοντας το ως “ένα στατικό χρήστη για έναν διαχειριστικό λογαριασμό” που επιτρέπει στους μη αυθεντικούς επιτιθέμενους να συνδεθούν σε συστήματα μη εξ αποστάσεως με τα προνόμια διαχειριστή πάνω από το API Adminges Admins Adments Over Admintratic
Το CVE-2024-20439 επηρεάζει μόνο τα συστήματα που εκτελούν ευάλωτα κυκλοφορίες κοινής ωφέλειας Cisco Smart Licensing, αλλά είναι μόνο εκμεταλλεύεται εάν ο χρήστης ξεκινά την εφαρμογή CSLU (η οποία δεν λειτουργεί στο παρασκήνιο από προεπιλογή).
Ο ερευνητής απειλής της Aruba Nicholas Starke Reverse-Engiene-Engineed the ευπάθεια δύο εβδομάδες μετά την κυκλοφορία του Cisco Security Patches και δημοσίευσε μια εγγραφή με τεχνικές λεπτομέρειες (συμπεριλαμβανομένου του αποκωδικοποιημένου στατικού κωδικού πρόσβασης).
“Τον Μάρτιο του 2025, η ομάδα απόκρισης περιστατικών για την ασφάλεια των προϊόντων της Cisco (PSIRT) γνώριζε την απόπειρα εκμετάλλευσης αυτής της ευπάθειας στην άγρια φύση”, της εταιρείας είπε σε ενημέρωση της Τρίτης στην αρχική συμβουλευτική ασφάλεια. “Η Cisco συνεχίζει να συνιστά έντονα ότι οι πελάτες αναβαθμίζουν σε μια σταθερή έκδοση λογισμικού για να αποκαταστήσουν αυτή την ευπάθεια”.
Αλυσοδεμένος με δεύτερη ευπάθεια
Ενώ η Cisco δεν μοιράστηκε λεπτομέρειες σχετικά με αυτές τις επιθέσεις, ο Johannes Ullrich, Dean of Research του Ινστιτούτου Sans Technology Institute, σημείωσε μια εκστρατεία τον περασμένο μήνα που χρησιμοποίησε τον λογαριασμό διαχειριστή backdoor για να επιτεθεί σε περιπτώσεις CSLU που εκτέθηκαν στο διαδίκτυο.
Ο Ullrich δήλωσε τον Μάρτιο ότι οι ηθοποιοί απειλών είναι αλυσιδωτές CVE-2024-20439 με ένα δεύτερο ελάττωμα, ένα κρίσιμο CLSU πληροφοριών για την αποστολή τεχνών HTTP σε αίτια σε ευάλωτα Devices.
“Μια γρήγορη αναζήτηση δεν έδειξε καμία ενεργή εκμετάλλευση [at the time]αλλά οι λεπτομέρειες, συμπεριλαμβανομένων των διαπιστευτηρίων backdoor, δημοσιεύθηκαν σε ένα blog του Nicholas Starke λίγο μετά την κυκλοφορία της Cisco. Δεν είναι λοιπόν έκπληξη το γεγονός ότι βλέπουμε κάποια δραστηριότητα εκμετάλλευσης “, δήλωσε ο Ullrich.
Τη Δευτέρα, η CISA πρόσθεσε το CVE-2024-20439 Στατική ευπάθεια των πιστοποιητικών Γνωστή εκμετάλλευση τρωτών σημείων καταλόγουπαραγγελία των ομοσπονδιακών υπηρεσιών των ΗΠΑ για να εξασφαλίσουν τα συστήματά τους ενάντια στην ενεργό εκμετάλλευση εντός τριών εβδομάδων, μέχρι τις 21 Απριλίου.
Αυτός δεν είναι ο πρώτος λογαριασμός backdoor που αφαιρέθηκε από τα προϊόντα της Cisco τα τελευταία χρόνια, με προηγούμενα hardcoded διαπιστευτήρια που βρέθηκαν στο iOS XE, το WAIS Application Services (WAAS), το κέντρο της αρχιτεκτονικής ψηφιακού δικτύου (DNA) και το λογισμικό ανταποκριτή έκτακτης ανάγκης.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
