A Cisco alertou os administradores para corrigirem uma vulnerabilidade crítica no Cisco Smart Licensing Utility (CSLU), que revela uma conta de administrador backdoor integrada agora usada em ataques.
O CSLU é um aplicativo Windows para gerenciar licenças e produtos vinculados localmente, sem conectá-los à solução baseada na nuvem da Cisco, o Smart Software Manager.
A Cisco corrigiu essa falha de segurança (
CVE-2024-20439
) em setembro, descrevendo-a como "uma credencial estática de usuário não documentada para uma conta administrativa" que permite a atacantes não autenticados se logar remotamente em sistemas não atualizados com privilégios de administrador através da API do aplicativo Cisco Smart Licensing Utility (CSLU).
O
CVE-2024-20439
só impacta sistemas que executam versões vulneráveis do Cisco Smart Licensing Utility, mas é apenas explorável se o usuário iniciar o aplicativo CSLU (que não é executado em segundo plano por padrão).
O pesquisador de ameaças da Aruba, Nicholas Starke, descompilou a vulnerabilidade duas semanas após a Cisco lançar os patches de segurança e publicou um artigo com detalhes técnicos (incluindo a senha estática codificada).
"Em março de 2025, a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento de tentativas de exploração dessa vulnerabilidade ativa," afirmou a empresa em uma atualização de terça-feira para o aviso de segurança original.
A Cisco continua a recomendar fortemente que os clientes atualizem para uma versão de software corrigida para remediar essa vulnerabilidade.
Embora a Cisco não tenha compartilhado detalhes sobre esses ataques, Johannes Ullrich, Dean of Research do SANS Technology Institute, identificou uma campanha no mês passado que utilizava a conta de administrador backdoor para atacar instâncias do CSLU expostas online.
Ullrich disse em março que os atores de ameaças estão combinando o
CVE-2024-20439
com uma segunda falha, uma vulnerabilidade crítica de divulgação de informações do CLSU (
CVE-2024-20440
) que atacantes não autenticados podem explorar para obter acesso a arquivos de log contendo dados sensíveis (incluindo credenciais de API) enviando solicitações HTTP forjadas para dispositivos vulneráveis.
"Uma busca rápida não mostrou nenhuma exploração ativa [naquele momento], mas detalhes, incluindo as credenciais do backdoor, foram publicados em um blog por Nicholas Starke logo após a Cisco lançar seu aviso. Portanto, não é surpresa que estamos vendo alguma atividade de exploração," disse Ullrich.
Na segunda-feira(31), a CISA adicionou a vulnerabilidade de credencial estática
CVE-2024-20439
ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas, ordenando que as agências federais dos EUA protejam seus sistemas contra exploração ativa dentro de três semanas, até o dia 21 de abril.
Essa não é a primeira conta backdoor removida dos produtos Cisco nos últimos anos, com credenciais codificadas anteriores encontradas em seu IOS XE, Wide Area Application Services (WAAS), Digital Network Architecture (DNA) Center e software Emergency Responder.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...