A Cisco removeu uma conta de backdoor no Cisco Smart Licensing Utility (CSLU) que poderia ser usada para fazer login em sistemas não corrigidos com privilégios administrativos.
O CSLU é uma aplicação para Windows que auxilia na gestão de licenças e de produtos vinculados localmente, sem conectá-los à solução baseada na nuvem da Cisco, o Smart Software Manager.
A empresa informou que essa vulnerabilidade crítica (
CVE-2024-20439
) permite a atacantes não autenticados fazer login remotamente em sistemas não corrigidos, utilizando "credenciais de usuário estático não documentadas para uma conta administrativa."
"Um exploit bem-sucedido poderia permitir ao atacante fazer login no sistema afetado com privilégios administrativos através da API do aplicativo Cisco Smart Licensing Utility," explicou a empresa.
A Cisco também liberou atualizações de segurança para uma vulnerabilidade crítica de divulgação de informações no CLSU (
CVE-2024-20440
) que atacantes não autenticados podem explorar para acessar arquivos de log contendo dados sensíveis (incluindo credenciais da API) enviando solicitações HTTP forjadas aos dispositivos afetados.
As duas vulnerabilidades de segurança impactam apenas sistemas que executam uma versão vulnerável do Cisco Smart Licensing Utility, independentemente de sua configuração de software.
As falhas de segurança só são exploráveis se um usuário iniciar o Cisco Smart Licensing Utility, que não é projetado para funcionar em segundo plano.
O Cisco Product Security Incident Response Team (PSIRT) diz que ainda não encontrou exploits públicos ou evidências de atacantes explorando as falhas de segurança em ataques.
Esta não é a primeira conta de backdoor que a Cisco remove de seus produtos nos últimos anos.
Credenciais codificadas não documentadas anteriores foram encontradas nos softwares da empresa, incluindo Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) e Emergency Responder.
No mês passado, a Cisco também corrigiu uma vulnerabilidade de severidade máxima (
CVE-2024-20419
) que permitia aos atacantes alterar a senha de qualquer usuário em servidores de licença Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) não corrigidos.
Três semanas depois, a empresa alertou que o código do exploit havia sido publicado online e advertiu os administradores a aplicarem as correções em seus servidores SSM On-Prem para bloquear possíveis ataques.
Em julho, a Cisco corrigiu um zero-day no NX-OS (CVE-2024-20399) que vinha sendo explorado desde abril para instalar malware anteriormente desconhecido como root em switches vulneráveis MDS e Nexus.
A Cisco também alertou em abril que hackers apoiados por estados (rastreados como UAT4356 e STORM-1849) exploraram outros dois bugs de zero-day (
CVE-2024-20353
e
CVE-2024-20359
) para invadir redes governamentais em todo o mundo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...