Cisco telah memperingatkan admin untuk menambal kerentanan Cisco Smart Licensing Usah Utilitas (CSLU) yang kritis, yang memperlihatkan akun admin backdoor bawaan yang sekarang digunakan dalam serangan.
CSLU adalah aplikasi Windows untuk mengelola lisensi dan produk tertaut di tempat tanpa menghubungkannya dengan solusi Smart Software Manager berbasis cloud Cisco.
Cisco menambal cacat keamanan ini (CVE-2024-20439) Pada bulan September, menggambarkannya sebagai “kredensial pengguna statis yang tidak berdokumen untuk akun administratif” yang memungkinkan penyerang yang tidak terau otentikasi masuk ke sistem yang tidak ditandingi dengan jarak jauh dengan hak istimewa Admin atas aplikasi aplikasi Cisco Smart Perizinan (CSLU).
CVE-2024-20439 hanya berdampak pada sistem yang menjalankan rilis Cisco Smart Licensing Utility, tetapi hanya dapat dieksploitasi jika pengguna memulai aplikasi CSLU (yang tidak berjalan di latar belakang secara default).
Peneliti ancaman Aruba Nicholas Starke merekayasa kerentanan dua minggu setelah Cisco merilis patch keamanan dan menerbitkan tulisan dengan detail teknis (termasuk kata sandi statis hardcoded yang diterjemahkan).
“Pada bulan Maret 2025, tim respons insiden keamanan produk Cisco (PSIRT) menjadi sadar akan upaya eksploitasi kerentanan ini di alam liar,” perusahaan itu mengatakan dalam pembaruan hari Selasa untuk penasihat keamanan asli. “Cisco terus sangat merekomendasikan agar pelanggan meningkatkan ke rilis perangkat lunak tetap untuk memulihkan kerentanan ini.”
Dirantai dengan kerentanan kedua
Sementara Cisco tidak membagikan detail tentang serangan ini, Johannes Ullrich, Dekan Penelitian Sans Technology Institute, melihat kampanye bulan lalu yang menggunakan akun admin backdoor untuk menyerang instance CSLU yang terpapar secara online.
Ullrich kata pada bulan Maret bahwa aktor ancaman merantai CVE-2024-20439 dengan cacat kedua, kerentanan pengungkapan informasi CLSU yang kritis (CVE-2024-20440) yang dapat dieksploitasi oleh penyerang yang tidak aautitikasi untuk mendapatkan akses ke file log yang berisi data sensitif (termasuk kredensi API) dengan mengirimkan permintaan HTTP yang dibuat.
“Pencarian cepat tidak menunjukkan eksploitasi aktif [at the time]tetapi detailnya, termasuk kredensial backdoor, diterbitkan di sebuah blog oleh Nicholas Starke tak lama setelah Cisco merilis penasihatnya. Jadi tidak mengherankan bahwa kita melihat beberapa aktivitas eksploitasi, “kata Ullrich.
Pada hari Senin, CISA menambahkan kerentanan kredensial statis CVE-2024-20439 ke dalamnya Katalog kerentanan yang diketahuiMemesan agen federal AS untuk mengamankan sistem mereka terhadap eksploitasi aktif dalam waktu tiga minggu, pada 21 April.
Ini bukan akun backdoor pertama yang dihapus dari produk Cisco dalam beberapa tahun terakhir, dengan kredensial hardcoded sebelumnya ditemukan di dalamnya IOS, Layanan Aplikasi Area Luas (WAAS), Pusat Arsitektur Jaringan Digital (DNA)Dan Responden darurat perangkat lunak.
