Cisco a averti les administrateurs de corriger une vulnérabilité critique de Cisco Smart Licensing Utility (CSLU), qui expose un compte administrateur de porte dérobée intégré désormais utilisé dans les attaques.
CSLU est une application Windows permettant de gérer les licences et les produits liés sur site sans les connecter à la solution Smart Software Manager basée sur le cloud de Cisco.
Cisco a corrigé cette faille de sécurité (CVE-2024-20439) en septembre, la décrivant comme « un identifiant d’utilisateur statique non documenté pour un compte administratif » qui permet aux attaquants non authentifiés de se connecter à distance aux systèmes non corrigés avec des privilèges d’administrateur sur l’API de l’application Cisco Smart Licensing Utility (CSLU).
CVE-2024-20439 n’affecte que les systèmes exécutant des versions vulnérables de l’utilitaire Cisco Smart Licensing, mais il n’est exploitable que si l’utilisateur démarre l’application CSLU (qui ne s’exécute pas en arrière-plan par défaut).
Nicholas Starke, chercheur en menaces chez Aruba, a procédé à une ingénierie inverse de la vulnérabilité deux semaines après que Cisco a publié des correctifs de sécurité et publié un article contenant des détails techniques (y compris le mot de passe statique décodé en dur).
« En mars 2025, l’Équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) a pris connaissance d’une tentative d’exploitation de cette vulnérabilité dans la nature », a déclaré la société dans une mise à jour mardi de l’avis de sécurité d’origine. « Cisco continue de recommander fortement aux clients de passer à une version logicielle fixe pour remédier à cette vulnérabilité. »
Enchaîné avec une deuxième vulnérabilité
Alors que Cisco n’a partagé aucun détail sur ces attaques, Johannes Ullrich, doyen de la recherche du SANS Technology Institute, a repéré une campagne le mois dernier qui utilisait le compte administrateur de la porte dérobée pour attaquer les instances CSLU exposées en ligne.
Ullrich a déclaré en mars que les acteurs de la menace enchaînaient CVE-2024-20439 avec une deuxième faille, une vulnérabilité critique de divulgation d’informations CLSU (CVE-2024-20440) que des attaquants non authentifiés peuvent exploiter pour accéder aux fichiers journaux contenant des données sensibles (y compris les informations d’identification de l’API) en envoyant des requêtes HTTP contrefaites à des appareils vulnérables.
« Une recherche rapide n’a montré aucune exploitation active [à l’époque], mais des détails, y compris les informations d’identification de la porte dérobée, ont été publiés dans un blog par Nicholas Starke peu de temps après que Cisco a publié son avis. Il n’est donc pas surprenant que nous assistions à une activité d’exploitation », a déclaré Ullrich.
Lundi, CISA a ajouté la vulnérabilité d’informations d’identification statiques CVE-2024-20439 à son Catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales américaines de sécuriser leurs systèmes contre une exploitation active dans les trois semaines, d’ici le 21 avril.
Ce n’est pas le premier compte de porte dérobée supprimé des produits Cisco ces dernières années, avec des informations d’identification codées en dur précédentes trouvées dans son IOS XE, ses Services d’applications étendus (WAAS), son Centre d’Architecture de réseau numérique (DNA) et son logiciel d’intervention d’urgence.