Sursa: dnsc.ro
În martie 2025, SANS Internet Storm Center a confirmat că vulnerabilitățile CVE-2024-20439 și CVE-2024-20440 sunt exploatate activ. Atacatorii au scanat internetul pentru a descoperi instanțe vulnerabile de Cisco Smart Licensing Utility (CSLU). CVE-2024-20439 a fost exploatat pentru a obține acces administrativ la sistem, iar CVE-2024-20440 a fost utilizat ulterior pentru extragerea token-urilor de autentificare și a datelor de configurare. Au fost observate atacuri de tip reconnaissance pentru identificarea instanțelor expuse, escaladare de privilegii prin acreditările obținute, extragere de date din log-uri și mișcare laterală către alte dispozitive Cisco din rețea.
CVE-2024-20439 este o vulnerabilitate de tip “Static Credential Vulnerability”, cu un scor de severitate de 9.8(Critic). Această vulnerabilitate apare din cauza existenței unor date de log-are statice administrative în Cisco Smart Licensing Utility (CSLU). În versiunile afectate, există un cont predefinit (nedocumentat) care permite unui atacator să obțină acces complet la interfața CSLU fără autentificare.
Atacul se desfășoară în două etape:
- Atacatorul se conectează la CSLU folosind date de log-are statice.
- După autentificare, atacatorul poate executa comenzi administrative, inclusiv modificarea configurației și accesul la date sensibile.
EXPLOATARE
- Trimiterea unui request HTTP POST către interfața CSLU.
- Utilizarea datelor de log-are statice pentru autentificare.
IMPACT
- Acces complet la nivel de root
- Posibilitate de a efectua atacuri de tip “lateral movement”
- Persistență în sistemul compromis
CVE-2024-20440 este o vulnerabilitate de tip “Information Disclosure Vulnerability”, cu un scor de severitate de 9.8(Critic). Problema constă în faptul că Cisco Smart Licensing Utility generează fișiere de log care conțin date sensibile în format text. Un atacator poate trimite o cerere HTTP special creată către interfața CSLU pentru a obține acces la aceste fișiere de log.
Fișierele de log pot conține:
- Token-uri de autentificare
- Parole în text clar
- Informații de configurare sensibile
- Detalii privind structura internă a rețelei
EXPLOATARE
- Trimiterea unui request HTTP GET către endpoint-ul /logs al CSLU
- Analiza răspunsului pentru extragerea de date sensibile
IMPACT
- Furt de acreditări
- Acces lateral la alte sisteme din rețea
- Permisiuni escaladate prin reutilizarea acreditărilor
VERSIUNI VULNERABILE
- Cisco Smart Licensing Utility 0.0
- Cisco Smart Licensing Utility 1.0
- Cisco Smart Licensing Utility 2.0
VERSIUNI REMEDIATE
- Cisco Smart Licensing Utility 3.0 și mai noi
RECOMANDĂRI
- Aplicați patch-urile Cisco cât mai rapid.
- Actualizare imediată la versiunea 2.3.0.
- Dezactivați accesul la interfața CSLU dacă nu este necesar.
- Schimbați acreditările administrative implicite.
- Implementați reguli de firewall pentru a bloca accesul din surse externe.
- Setați permisiuni restrictive pentru accesul la log-uri.
- Activați criptarea pentru datele sensibile din fișierele de log.
- Monitorizați cererile HTTP către endpoint-urile de log și blocați cererile suspecte.
- Monitorizați atent log-urile și activitatea neobișnuită pe sistemele Cisco
- Implementați autentificare multi-factor (MFA) pentru protecție suplimentară.
