近期，攻擊者開始針對(duì)未修復(fù)漏洞的Cisco智能許可工具（Cisco Smart Licensing Utility, CSLU）實(shí)例發(fā)起攻擊，該漏洞暴露了一個(gè)內(nèi)置的后門管理員賬戶。

Cisco智能許可工具是一款Windows應(yīng)用程序，允許管理員在本地環(huán)境中管理許可證和關(guān)聯(lián)產(chǎn)品，而無(wú)需將其連接到Cisco基于云的Smart Software Manager解決方案。

漏洞詳情與被利用情況

Cisco于今年9月修復(fù)了這一安全漏洞（編號(hào)為CVE-2024-20439），并將其描述為“一個(gè)未公開的靜態(tài)用戶憑證，用于管理員賬戶”。未經(jīng)驗(yàn)證的攻擊者可以通過CSLU應(yīng)用的API遠(yuǎn)程登錄未修復(fù)的系統(tǒng)，并擁有管理員權(quán)限。

此外，Cisco還修復(fù)了第二個(gè)嚴(yán)重的信息泄露漏洞（CVE-2024-20440）。未經(jīng)驗(yàn)證的攻擊者可以通過向易受攻擊的設(shè)備發(fā)送特制的HTTP請(qǐng)求，訪問包含敏感數(shù)據(jù)（包括API憑證）的日志文件。

這兩個(gè)漏洞僅影響運(yùn)行易受攻擊版本的Cisco智能許可工具的系統(tǒng)，并且只有在用戶啟動(dòng)CSLU應(yīng)用時(shí)才能被利用——CSLU默認(rèn)不會(huì)在后臺(tái)運(yùn)行。

Aruba威脅研究員Nicholas Starke對(duì)這一漏洞進(jìn)行了逆向工程，并在Cisco發(fā)布安全補(bǔ)丁約兩周后發(fā)布了一份技術(shù)細(xì)節(jié)報(bào)告，其中包括解碼后的硬編碼靜態(tài)密碼。

攻擊者已開始利用漏洞

SANS技術(shù)研究院的研究主任Johannes Ullrich報(bào)告稱，攻擊者已開始在針對(duì)暴露在互聯(lián)網(wǎng)上的CSLU實(shí)例的利用嘗試中，結(jié)合使用這兩個(gè)安全漏洞。

Ullrich表示：“快速搜索并未顯示[當(dāng)時(shí)]有任何積極的利用活動(dòng)，但包括后門憑證在內(nèi)的細(xì)節(jié)在Cisco發(fā)布公告后不久，由Nicholas Starke在博客中公開。因此，我們現(xiàn)在看到一些利用活動(dòng)并不奇怪?！?/p>

盡管這些攻擊的最終目標(biāo)尚不清楚，但背后的攻擊者還在嘗試?yán)闷渌踩┒?，包括一個(gè)公開有概念驗(yàn)證利用的信息泄露漏洞（CVE-2024-0305），該漏洞影響廣州盈科電子的DVR設(shè)備。

Cisco關(guān)于CVE-2024-20439和CVE-2024-20440的安全公告仍表示，其產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（PSIRT）尚未發(fā)現(xiàn)威脅行為者在攻擊中利用這兩個(gè)安全漏洞的證據(jù)。

Cisco產(chǎn)品的其他后門賬戶

CVE-2024-20439并不是Cisco近年來(lái)從其產(chǎn)品中移除的第一個(gè)后門賬戶。此前，該公司曾在Digital Network Architecture（DNA）Center、IOS XE、Wide Area Application Services（WAAS）和Emergency Responder軟件中發(fā)現(xiàn)過硬編碼憑證。