Cisco advirtió a los administradores que corrijan una vulnerabilidad crítica de Cisco Smart Licensing Utility (CSLU), que exhibe una cuenta de administración de puerta robada integrada ahora utilizada en ataques.
CSLU es una aplicación de Windows para administrar licencias y productos relacionados en el sitio sin conectarlos a la solución inteligente de software inteligente con sede en Cisco.
Cisco corrigió este defecto de seguridad (CVE-2024-20439) en septiembre, describiéndolo como “información de usuario estático indocumentado para una cuenta administrativa” que permite a los atacantes no autorenticados conectarse a los sistemas diferentes con los privilegios del administrador de la API de la Lisnity Smart Smart (CSLU).
CVE-2024-20439 tiene solo un impacto en los sistemas que realizan versiones vulnerables de Licencia Smart Cisco, pero solo se puede usar si el usuario inicia la aplicación CSLU (que no se ejecuta en valor predeterminado).
El investigador de la amenaza de Aruba, Nicholas Starke, revirtió la vulnerabilidad dos semanas después de que Cisco haya publicado soluciones de seguridad y Publicado un artículo Con detalles técnicos (incluida la contraseña estática decodificada con código duro).
“En marzo de 2025, los incidentes de seguridad del producto Cisco Product (PSIT) se han dado cuenta del intento de explotar esta vulnerabilidad en la naturaleza”, la compañía dijo en una actualización del martes En el aviso de seguridad original. “Cisco continúa recomendando encarecidamente que los clientes vayan a una versión fija del software para remediar esta vulnerabilidad”.
Encadenado con una segunda vulnerabilidad
Aunque Cisco no compartió ningún detalle sobre estos ataques, Johannes Ullrich, decano del Investigación del Instituto de Tecnología sin Tecnología, vio una campaña el mes pasado que utilizó la cuenta de administración de la puerta robada para atacar las instancias de CSLU en línea.
Ullrich dijo en marzo que los actores amenazantes continúan el CVE-2024-20439 con un segundo defecto, una vulnerabilidad crítica de la información de CLSU (CVE-2024-20440) que los atacantes no autenticados pueden explotar para acceder a los archivos de periódicos que contienen datos sensibles (incluida la información de identificación API) mediante el envío de solicitudes de HTP de HTP que se realizan a los dispositivos vulnerables.
“Una búsqueda rápida no ha mostrado una explotación activa [at the time]Pero los detalles, incluidas las referencias de la puerta robada, se publicaron en un blog de Nicholas Starke poco después de que Cisco publicara su opinión. Por lo tanto, no es sorprendente que veamos una actividad operativa “, dijo Ullrich.
El lunes, CISA agregó la vulnerabilidad estática de la información de identificación CVE-2024-20439 Catálogo de vulnerabilidades explotadas conocidasOrdenando a las agencias federales estadounidenses que asegure sus sistemas contra la explotación activa dentro de las tres semanas, antes del 21 de abril.
Esta no es la primera cuenta de puerta de almacenamiento robada eliminada de los productos de Cisco en los últimos años, con información de identificación codificada con código duro que se encuentra en su XE iOS, sus servicios de aplicaciones de área amplia (WAAS), su centro de arquitectura de red digital (ADN) y el contestador de emergencias.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.