攻击者正在积极利用未修补的 Cisco Smart Licensing Utility(CSLU)实例,通过内置的后门管理员帐户获得未经授权的访问。此漏洞被确定为 CVE-2024-20439,允许攻击者通过 CSLU 应用程序的 API 以管理权限远程登录未修补的系统。思科于 2024 年 9 月解决了此漏洞,并解释说它源于管理帐户的未记录静态用户凭证。
另一个严重漏洞 CVE-2024-20440 也由 Cisco 修补。此缺陷使攻击者能够通过向易受攻击的设备发送精心编制的 HTTP 请求来访问包含 API 凭据的敏感日志文件。这两个漏洞都会影响运行过时版本的 CSLU 的系统,这些版本必须由用户主动启动,因为该应用程序默认不是为在后台运行而设计的。
据报道,存在漏洞利用尝试,威胁行为者将这些漏洞链接起来,以互联网公开的 CSLU 实例为目标。威胁研究员 Nicholas Starke 在补丁发布后不久就对漏洞进行了逆向工程并分享了技术细节,包括解码的静态密码。SANS Technology Institute 的 Johannes Ullrich 证实,这些公布的详细信息导致了可观察到的漏洞利用活动。
来源