Gli aggressori hanno iniziato a prendere di mira le istanze di Cisco Smart Licensing Utility (CSLU) non protette da patch per una vulnerabilità che espone un account amministratore backdoor incorporato.
L'applicazione CSLU per Windows consente agli amministratori di gestire le licenze e i prodotti collegati in locale senza doverli collegare alla soluzione Smart Software Manager basata su cloud di Cisco.
Cisco ha corretto questa falla di sicurezza (contrassegnata come CVE-2024-20439) a settembre, descrivendola come "una credenziale utente statica non documentata per un account amministrativo" che può consentire ad aggressori non autenticati di accedere in remoto a sistemi non patchati con privilegi di amministratore tramite l'API dell'app CSLU.
L'azienda ha inoltre affrontato una seconda vulnerabilità critica di divulgazione delle informazioni CLSU (CVE-2024-20440) che gli aggressori non autenticati possono sfruttare per accedere ai file di registro contenenti dati sensibili (incluse le credenziali API) inviando richieste HTTP contraffatte ai dispositivi vulnerabili.
Queste due vulnerabilità hanno un impatto solo sui sistemi che eseguono versioni vulnerabili di Cisco Smart Licensing Utility e sono sfruttabili solo se l'utente avvia l'app CSLU, che non è progettata per essere eseguita in background per impostazione predefinita.
Nicholas Starke, ricercatore sulle minacce di Aruba, ha eseguito il reverse engineering della vulnerabilità e ha pubblicato un articolo con i dettagli tecnici (tra cui la password statica hardcoded decodificata) circa due settimane dopo il rilascio delle patch di sicurezza da parte di Cisco.
Preso di mira negli attacchi
Johannes Ullrich, preside della ricerca del SANS Technology Institute, ha riferito che gli autori delle minacce stanno ora concatenando le due falle di sicurezza nei tentativi di sfruttamento mirati alle istanze CSLU esposte su Internet.
"Una rapida ricerca non ha mostrato alcun exploit attivo [al momento], ma i dettagli, comprese le credenziali backdoor, sono stati pubblicati in un blog da Nicholas Starke poco dopo che Cisco ha rilasciato il suo avviso. Quindi non sorprende che stiamo assistendo ad alcune attività di exploit", ha affermato Ullrich.
Sebbene l'obiettivo finale di questi attacchi non sia noto, l'autore della minaccia sta tentando di sfruttare anche altre vulnerabilità di sicurezza, tra cui quella che sembra una falla nella divulgazione delle informazioni con un exploit proof-of-concept pubblico (CVE-2024-0305) che ha un impatto sui DVR elettronici Guangzhou Yingke.
L'avviso di sicurezza di Cisco per CVE-2024-20439 e CVE-2024-20440 afferma ancora che il suo Product Security Incident Response Team (PSIRT) non ha trovato prove che gli autori della minaccia sfruttino le due falle di sicurezza negli attacchi.
CVE-2024-20439 non è il primo account backdoor che Cisco ha rimosso dai suoi prodotti negli ultimi anni: precedenti credenziali hardcoded sono state trovate nei software Digital Network Architecture (DNA) Center , IOS XE , Wide Area Application Services (WAAS) ed Emergency Responder dell'azienda.
Nessun commento:
Posta un commento