A Cisco removeu um backdoor do Cisco Smart Licensing Utility (CSLU) que permitia o acesso de invasores a sistemas não corrigidos com privilégios administrativos.
O CSLU é um aplicativo para Windows que facilita o gerenciamento de licenças e produtos localmente, sem conectá-los à solução Smart Software Manager baseada na nuvem da Cisco. A vulnerabilidade crítica (CVE-2024-20439) permitia que invasores não autenticados acessassem remotamente sistemas vulneráveis usando uma "credencial de usuário estática não documentada para uma conta administrativa".
"Uma exploração bem-sucedida pode permitir que o invasor faça login no sistema afetado com privilégios administrativos sobre a API do Cisco Smart Licensing Utility", explicou a empresa.
Além disso, a Cisco lançou atualizações de segurança para outra vulnerabilidade crítica no CSLU (CVE-2024-20440) que poderia ser explorada por hackers para acessar arquivos de registro contendo dados confidenciais (incluindo credenciais de API), enviando requisições HTTP maliciosas para dispositivos afetados.
Ambas as vulnerabilidades afetam apenas sistemas com versões vulneráveis do Cisco Smart Licensing Utility, independentemente da configuração do software. As falhas só podem ser exploradas quando o aplicativo CSLU é iniciado, pois ele não foi projetado para rodar em segundo plano.
Cisco Smart License Utility Release | First Fixed Release |
2.0.0 | Migrate to a fixed release. |
2.1.0 | Migrate to a fixed release. |
2.2.0 | Migrate to a fixed release. |
2.3.0 | Not vulnerable. |
A Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco (PSIRT) afirma que, até o momento, não há registros de exploração pública ou evidências de ataques ativos explorando essas falhas.
Essa não é a primeira vez que a Cisco remove backdoors de seus produtos. Credenciais codificadas não documentadas já foram descobertas em outros sistemas, como o Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) e no software Emergency Responder da empresa.
No mês passado, a Cisco corrigiu outra vulnerabilidade crítica (CVE-2024-20419) que permitia a alteração de qualquer senha de usuário em servidores de licença vulneráveis do Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem). Três semanas depois, a empresa alertou que o código de exploração havia sido publicado online, recomendando que os administradores aplicassem correções para evitar possíveis ataques.
Em julho, a Cisco corrigiu uma vulnerabilidade zero-day no NX-OS (CVE-2024-20399) que estava sendo explorada desde abril para instalar malware como root em switches MDS e Nexus vulneráveis.
Em abril, a Cisco também alertou que hackers patrocinados por estados (identificados como UAT4356 e STORM-1849) estavam explorando duas outras vulnerabilidades zero-day (CVE-2024-20353 e CVE-2024-20359) para comprometer redes governamentais em todo o mundo.
Via - BC
댓글