研究人员已检测到针对Cisco Smart Licensing Utility中两个关键漏洞的主动利用尝试，而这两个漏洞大约在六个月前已被修复。

威胁行为者利用这些漏洞，有可能获得对敏感许可数据和管理功能的未经授权访问。

这些攻击针对的是Cisco Smart Licensing Utility中于 2024 年 9 月初披露的两个关键漏洞。

CVE-2024-20439 的通用漏洞评分系统（CVSS）最高评分为 9.8，本质上相当于一个 “后门”，允许未经身份验证的远程攻击者使用硬编码凭证访问该软件。

第二个漏洞 CVE-2024-20440 的评分同样为 9.8，它涉及 “调试日志文件中的信息过度详细”，从而暴露了包括 API 凭证在内的敏感信息。

Hewlett Packard Enterprise旗下公司Aruba 的安全研究员Nicholas Starke透露，Cisco 该实用程序的易受攻击版本（2.0.0 至 2.2.0）包含一个静态管理密码：Library4C$LU。

这个凭证嵌入在应用程序的 API 身份验证机制中，若被成功利用，攻击者就能获得管理权限。

Cisco Smart Licensing Utility漏洞

根据美国信息安全研究学会（SANS）研究人员的说法，攻击者正在发送精心构造的 HTTP 请求来利用这些漏洞。

一种已识别的攻击模式显示，威胁行为者正试图使用硬编码凭证访问 API 端点 /cslu/v1/scheduler/jobs。

授权标头中的 Base64 编码字符串解码后为 cslu-windows-client:Library4C$LU，这与Starke 研究中确定的凭证相符。

一旦成功，这将使攻击者获得对许可实用程序的管理访问权限，有可能让他们管理相关服务或从易受攻击的系统中提取敏感信息。

威胁行为者的攻击目标并不局限于Cisco 产品。同一团伙还试图利用其他漏洞，其中包括似乎是 CVE-2024-0305 的漏洞，该漏洞会影响某些数字视频录像机（DVR）系统：

这表明存在一场更广泛的扫描活动，目标是那些存在已知漏洞且暴露在互联网上的设备。

美国信息安全研究学会（SANS）的研究负责人 Johannes Ullrich 指出了一个具有讽刺意味的现象：“看到廉价的物联网设备和昂贵的企业安全软件存在类似的基本漏洞总是很有意思” —— 两者往往都包含提供后门访问权限的硬编码凭证。

缓解措施

使用Cisco Smart Licensing Utility的机构应立即更新到 2.3.0 版本，该版本不会受到这些漏洞利用的影响。

网络管理员还应检查针对 /cslu/v1 端点的未经授权访问尝试的日志，尤其是那些包含已遭泄露凭证的日志。

Cisco 表示，“除非Cisco Smart Licensing Utility由用户启动并处于主动运行状态，否则这些漏洞无法被利用”，不过考虑到该软件的广泛部署，这并不能让人感到安心。

随着漏洞利用尝试不断增加，及时打补丁仍然是抵御这些关键安全漏洞最有效的缓解措施。