攻击者已经开始针对未修补的思科智能许可实用程序 (CSLU) 实例发起攻击,以防范暴露内置后门管理员帐户的漏洞。
CSLU Windows 应用程序允许管理员在本地管理许可证和链接产品,而无需将它们连接到思科基于云的智能软件管理器解决方案。
思科于2024年 9 月修补了此安全漏洞(编号为 CVE-2024-20439),将其描述为“管理帐户的未记录的静态用户凭证”,可让未经身份验证的攻击者通过 CSLU 应用程序的 API 以管理员权限远程登录未修补的系统。
该公司还解决了第二个严重的 CLSU 信息泄露漏洞 (CVE-2024-20440),未经身份验证的攻击者可以利用该漏洞通过向易受攻击的设备发送精心设计的 HTTP 请求来访问包含敏感数据(包括 API 凭据)的日志文件。
这两个漏洞仅影响运行易受攻击的思科智能许可实用程序版本的系统,并且仅当用户启动 CSLU 应用程序时才可被利用,而该应用程序默认情况下并不设计为在后台运行。
在思科发布安全补丁大约两周后,Aruba 威胁研究员 Nicholas Starke 对该漏洞进行了逆向工程,并发表了包含技术细节(包括解码的硬编码静态密码)的文章。
SANS 技术研究所研究主任约翰内斯·乌尔里希 (Johannes Ullrich)报告称,攻击者目前正在利用这两个安全漏洞,针对互联网上暴露的 CSLU 实例进行攻击。
“快速搜索没有发现任何主动的漏洞利用行为(当时),但思科发布安全公告后不久,Nicholas Starke 在博客中公布了包括后门凭证在内的详细信息。因此,我们发现一些漏洞利用活动并不奇怪,”Ullrich 说道。
虽然这些攻击的最终目标尚不清楚,但背后的威胁行为者还试图利用其他安全漏洞,其中包括一个看起来像是信息泄露漏洞的公开概念验证漏洞(CVE-2024-0305),该漏洞影响了广州盈科电子 DVR。
思科针对 CVE-2024-20439 和 CVE-2024-20440 的安全公告仍然表示,其产品安全事件响应团队 (PSIRT) 未发现威胁行为者利用这两个安全漏洞进行攻击的证据。
CVE-2024-20439 并不是思科近年来从其产品中删除的第一个后门账户,之前的硬编码凭证还存在于该公司的数字网络架构 (DNA) 中心、IOS XE、广域应用服务 (WAAS)和紧急响应软件中。
原文始发于微信公众号(犀牛安全):思科智能许可实用程序的关键漏洞现已被利用于攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3920046.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论