HackerNews 编译,转载请注明出处:
思科公司警告管理员立即修补Cisco Smart Licensing Utility(CSLU)中的严重漏洞,该漏洞暴露了一个内置的后门管理员账户,目前已被攻击者利用。
CSLU是一款Windows应用程序,用于在本地管理许可证和关联产品,而无需连接至思科云端的Smart Software Manager解决方案。
思科于2024年9月修补了该安全漏洞(CVE-2024-20439),并将其描述为“未公开的静态用户凭证”,攻击者可通过CSLU应用程序的API远程登录未修补的系统,获取管理员权限。
CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统,但只有在用户手动启动CSLU应用程序时才会被利用(默认情况下不会在后台运行)。
Aruba威胁研究员Nicholas Starke在思科发布补丁两周后,逆向分析了该漏洞,并发布了包含详细技术信息的报告,其中包括解码后的硬编码静态密码。
思科在周二更新的安全公告中表示:“2025年3月,思科产品安全事件响应团队(PSIRT)发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”
与第二个漏洞联动利用
尽管思科未公开这些攻击的具体细节,但SANS技术研究院研究主任Johannes Ullrich上月发现,有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。
Ullrich指出,威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞(CVE-2024-20440)结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求,访问易受攻击设备中的日志文件,获取API凭证等敏感数据。
“虽然当时的快速搜索未发现任何活跃的攻击行为,但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证,因此现在看到部分攻击活动并不意外。”Ullrich表示。
本周一,美国网络安全与基础设施安全局(CISA)将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”,并要求美国联邦机构在三周内(即4月21日前)保护系统免受该漏洞的主动利用。
近年来,这并非思科产品中首次发现并移除后门账户。在此之前,思科的IOS XE、广域网应用服务(WAAS)、数字网络架构(DNA)中心和应急响应软件中也曾发现硬编码凭证漏洞。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
