思科(Cisco)披露了其智能许可实用程序(Smart Licensing Utility)中的两个漏洞:**CVE-2024-20439**(静态凭证后门)和**CVE-2024-20440**(信息泄露漏洞)。攻击者可以利用后门访问敏感日志文件。虽然最初未观察到主动利用行为,但随着漏洞利用细节的公开,近期已出现攻击活动。
“思科智能许可实用程序中的多个漏洞可能允许未经身份验证的远程攻击者在软件运行时收集敏感信息或管理系统上的思科智能许可实用程序服务。”思科发布的公告中写道。
以下是两个漏洞的描述:
**CVE-2024-20439**(CVSS评分:9.8)——该漏洞与一个未记录的静态管理员凭证有关,允许攻击者通过思科智能许可实用程序API以管理员权限登录。
**CVE-2024-20440**(CVSS评分:9.8)——该漏洞是由于调试日志文件中的信息过于详细。攻击者可以通过向受影响的设备发送特制的HTTP请求来利用此问题,获取包含敏感数据的日志文件,包括可用于访问API的凭证。
思科已发布修复这些漏洞的软件更新,目前没有针对这两个问题的临时解决方案。
SANS互联网风暴中心(Internet Storm Center)的研究人员警告称,这两个漏洞正在被积极利用。“这两个漏洞在某种程度上是相关的。第一个漏洞是思科喜欢在其产品中设置的众多后门之一,即一个简单的固定密码,可用于获取访问权限。第二个漏洞是一个日志文件,记录了过多的信息。利用第一个漏洞,攻击者可以访问日志文件。”SANS发布的公告中写道。“初步搜索未显示任何主动利用行为,但在思科发布公告后不久,Nicholas Starke在一篇博客中公布了包括后门凭证在内的详细信息。因此,我们看到一些利用活动并不奇怪。”
SANS研究人员警告称,试图利用这两个漏洞的组织还针对配置文件,并可能利用**CVE-2024-0305**(CVSS评分:5.3),这很可能是一个DVR漏洞。
SANS的公告未提供有关利用这两个漏洞的攻击者身份或动机的信息。
原文始发于微信公众号(黑猫安全):思科智能许可实用程序漏洞在野外被积极利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论