近期，攻击者开始针对未修复漏洞的Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的后门管理员账户。

Cisco智能许可工具是一款Windows应用程序，允许管理员在本地环境中管理许可证和关联产品，而无需将其连接到Cisco基于云的Smart Software Manager解决方案。

漏洞详情与被利用情况

Cisco于今年9月修复了这一安全漏洞（编号为CVE-2024-20439），并将其描述为“一个未公开的静态用户凭证，用于管理员账户”。未经验证的攻击者可以通过CSLU应用的API远程登录未修复的系统，并拥有管理员权限。

此外，Cisco还修复了第二个严重的信息泄露漏洞（CVE-2024-20440）。未经验证的攻击者可以通过向易受攻击的设备发送特制的HTTP请求，访问包含敏感数据（包括API凭证）的日志文件。

这两个漏洞仅影响运行易受攻击版本的Cisco智能许可工具的系统，并且只有在用户启动CSLU应用时才能被利用——CSLU默认不会在后台运行。

Aruba威胁研究员Nicholas Starke对这一漏洞进行了逆向工程，并在Cisco发布安全补丁约两周后发布了一份技术细节报告，其中包括解码后的硬编码静态密码。

攻击者已开始利用漏洞

SANS技术研究院的研究主任Johannes Ullrich报告称，攻击者已开始在针对暴露在互联网上的CSLU实例的利用尝试中，结合使用这两个安全漏洞。

Ullrich表示：“快速搜索并未显示[当时]有任何积极的利用活动，但包括后门凭证在内的细节在Cisco发布公告后不久，由Nicholas Starke在博客中公开。因此，我们现在看到一些利用活动并不奇怪。”

尽管这些攻击的最终目标尚不清楚，但背后的攻击者还在尝试利用其他安全漏洞，包括一个公开有概念验证利用的信息泄露漏洞（CVE-2024-0305），该漏洞影响广州盈科电子的DVR设备。

Cisco关于CVE-2024-20439和CVE-2024-20440的安全公告仍表示，其产品安全事件响应团队（PSIRT）尚未发现威胁行为者在攻击中利用这两个安全漏洞的证据。

Cisco产品的其他后门账户

CVE-2024-20439并不是Cisco近年来从其产品中移除的第一个后门账户。此前，该公司曾在Digital Network Architecture（DNA）Center、IOS XE、Wide Area Application Services（WAAS）和Emergency Responder软件中发现过硬编码凭证。

参考来源：

Critical Cisco Smart Licensing Utility flaws now exploited in attacks

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）