Cisco telah menghapus akun backdoor di Cisco Smart Licensing Utility (CSLU) yang dapat digunakan untuk masuk ke sistem yang belum ditambal dengan hak istimewa administratif.
CSLU adalah aplikasi Windows yang membantu mengelola lisensi dan produk tertaut di lokasi tanpa menghubungkannya ke solusi Smart Software Manager berbasis cloud milik Cisco.
Perusahaan tersebut mengatakan kerentanan kritis ini (CVE-2024-20439) memungkinkan penyerang yang tidak diautentikasi untuk masuk ke sistem yang belum ditambal dari jarak jauh menggunakan “kredensial pengguna statis yang tidak terdokumentasi untuk akun administratif.”
“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk masuk ke sistem yang terpengaruh dengan hak istimewa administratif melalui API aplikasi Cisco Smart Licensing Utility,” katanya dijelaskan.
Cisco juga merilis pembaruan keamanan untuk kerentanan pengungkapan informasi CLSU kritis (CVE-2024-20440) yang dapat dimanfaatkan oleh pelaku ancaman yang tidak diautentikasi untuk mengakses berkas log yang berisi data sensitif (termasuk kredensial API) dengan mengirimkan permintaan HTTP yang dibuat ke perangkat yang terpengaruh.
Kedua kerentanan keamanan tersebut hanya memengaruhi sistem yang menjalankan rilis Cisco Smart Licensing Utility yang rentan, terlepas dari konfigurasi perangkat lunaknya. Cacat keamanan tersebut hanya dapat dieksploitasi jika pengguna menjalankan Cisco Smart Licensing Utility, yang tidak dirancang untuk berjalan di latar belakang.
| Rilis Utilitas Lisensi Cerdas Cisco | Rilis Tetap Pertama |
|---|---|
| Bahasa Indonesia: 2.0.0 | Bermigrasi ke rilis tetap. |
| 2.1.0 | Bermigrasi ke rilis tetap. |
| 2.2.0 | Bermigrasi ke rilis tetap. |
| 2.3.0 | Tidak rentan. |
Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan pihaknya belum menemukan eksploitasi publik atau bukti pelaku ancaman yang mengeksploitasi kelemahan keamanan dalam serangan.
Ini bukan akun backdoor pertama yang dihapus Cisco dari produknya dalam beberapa tahun terakhir. Kredensial hardcoded yang tidak terdokumentasi sebelumnya ditemukan di akun perusahaan Pusat Arsitektur Jaringan Digital (DNA)Bahasa Indonesia: iOS XEBahasa Indonesia: Layanan Aplikasi Area Luas (WAAS)Dan Penanggap Darurat perangkat lunak.
Bulan lalu, Cisco juga menambal kerentanan tingkat keparahan maksimum (CVE-2024-20419) yang memungkinkan penyerang mengubah kata sandi pengguna apa pun di server lisensi Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) yang tidak ditambal. Tiga minggu kemudian, perusahaan tersebut mengatakan bahwa kode eksploitasi telah dipublikasikan secara online dan memperingatkan admin untuk menambal server SSM On-Prem mereka guna memblokir serangan potensial.
Pada bulan Juli, Cisco memperbaiki sebuah zero-day NX-OS (CVE-2024-20399) yang telah dieksploitasi sejak April untuk menginstal malware yang sebelumnya tidak dikenal sebagai root pada MDS dan switch Nexus yang rentan.
Cisco juga memperingatkan pada bulan April bahwa peretas yang didukung negara (dilacak sebagai UAT4356 dan STORM-1849) mengeksploitasi dua bug zero-day lainnya (CVE-2024-20353 dan CVE-2024-20359) untuk membobol jaringan pemerintah di seluruh dunia
