美国网络安全与基础设施安全局（CISA）在确认 Cisco 的一个严重漏洞已在现实中被恶意利用后，将其列入了已知被利用漏洞（KEV）目录。

该漏洞编号为 CVE-2024-20439，影响 Cisco Smart Licensing Utility （CSLU），使得未经身份验证的远程攻击者能够通过一个未公开的静态凭据获取受影响系统的管理员访问权限。

此漏洞被归类为 CWE-912（隐藏功能），其严重程度为 “严重”，通用漏洞评分系统（CVSS）基础评分为 9.8 分。

根据 Cisco 的安全公告，该漏洞 “可能会让未经身份验证的远程攻击者使用静态管理凭据登录到受影响的系统”。

Cisco Smart Licensing Utility 凭据漏洞

这种类似后门的访问权限之所以存在，是因为应用程序中嵌入了硬编码的凭据，这使得攻击者能够对 CSLU API 拥有完全的管理权限。

安全研究人员指出，一旦攻击者确定了存在漏洞的系统，利用该漏洞相对来说比较容易。

美国信息安全研究与教育机构（SANS）技术研究所的研究主任 Johannes Ullrich 证实，威胁行为者正在积极利用这个漏洞，尤其是在包括后门凭据在内的技术细节在网上公布之后。

“我们看到一些利用该漏洞的攻击活动并不奇怪。” Ullrich 在观察到现实中的攻击后指出。

据报道，攻击者将 CVE-2024-20439 漏洞与同一产品中的另一个严重漏洞 CVE-2024-20440（CVSS 评分为 9.8 分）结合使用，CVE-2024-20440 是一个信息泄露漏洞，攻击者可借此从调试日志文件中提取敏感数据。

这些漏洞的组合形成了一个极其危险的攻击途径，使攻击者既能获得管理员访问权限，又能获取凭据以进一步破坏系统。

这些利用漏洞进行攻击的威胁行为者还在针对其他漏洞，包括影响广州英科电子数字视频录像机（DVR）的 CVE-2024-0305 漏洞。

以下是该漏洞的概述：

风险因素                    详情

受影响产品                Cisco Smart Licensing Utility 2.0.0 至 2.2.0 版本（不包括 2.3.0 版本）

影响                           允许未经身份验证的远程攻击者使用静态管理凭据登录

利用前提条件             Cisco Smart Licensing Utility已手动启动并处于活动运行状态

CVSS 3.1 评分             9.8（严重）

受影响产品及修复措施

该漏洞影响 Cisco Smart Licensing Utility 2.0.0 至 2.2.0 版本，已确认 2.3.0 版本不受影响。美国网络安全与基础设施安全局（CISA）已要求所有联邦政府行政部门（FCEB）机构在 2025 年 4 月 21 日前应用补丁。

需要注意的是，这些漏洞仅影响手动启动了Cisco Smart Licensing Utility 的系统，因为该程序默认不会在后台运行。

然而，即使在连接到互联网的主机上仅启动过一次该应用程序，也可能会给攻击者创造利用漏洞的机会。

各机构可以采取以下措施：

1.立即更新到 Cisco Smart Licensing Utility 2.3.0 版本或更高版本。

2.如果无法立即打补丁，实施网络分段以限制对 Cisco Smart Licensing Utility 实例的访问。

3.监控系统以防范未经授权的访问尝试。

4.查看美国网络安全与基础设施安全局（CISA）的已知被利用漏洞（KEV）目录，了解其他需要修复的正在被利用的漏洞。

鉴于该漏洞的严重性质、易于被利用的特点以及已确认存在的主动攻击，各机构应优先处理此漏洞。

由于美国网络安全与基础设施安全局（CISA）的已知被利用漏洞（KEV）目录仍然是追踪被利用漏洞的权威来源，安全团队应将其纳入到自身的漏洞管理优先级框架中。