Les attaquants ont commencé à cibler les instances de Cisco Smart Licensing Utility (CSLU) non corrigées contre une vulnérabilité exposant un compte administrateur de porte dérobée intégré.
L’application Windows CSLU permet aux administrateurs de gérer les licences et les produits liés sur site sans les connecter à la solution Smart Software Manager basée sur le cloud de Cisco.
Cisco a corrigé cette faille de sécurité (suivie sous le numéro CVE-2024-20439) en septembre, la décrivant comme « un identifiant d’utilisateur statique non documenté pour un compte administratif » qui peut permettre à des attaquants non authentifiés de se connecter à distance à des systèmes non patchés avec des privilèges d’administrateur sur l’API de l’application CSLU.
La société a également résolu une deuxième vulnérabilité critique de divulgation d’informations CLSU (CVE-2024-20440) que les attaquants non authentifiés peuvent utiliser pour accéder aux fichiers journaux contenant des données sensibles (y compris les informations d’identification de l’API) en envoyant des requêtes HTTP contrefaites à des appareils vulnérables.
Ces deux vulnérabilités n’affectent que les systèmes exécutant des versions vulnérables de l’utilitaire Cisco Smart Licensing et ne sont exploitables que si l’utilisateur démarre l’application CSLU—qui n’est pas conçue pour s’exécuter en arrière-plan par défaut.
Nicholas Starke, chercheur en menaces chez Aruba, a procédé à une ingénierie inverse de la vulnérabilité et a publié un article contenant des détails techniques (y compris le mot de passe statique décodé en dur) environ deux semaines après la publication des correctifs de sécurité par Cisco.
Ciblé dans les attaques
Johannes Ullrich, doyen de la recherche du SANS Technology Institute, a indiqué que les acteurs de la menace enchaînent désormais les deux failles de sécurité dans les tentatives d’exploitation ciblant les instances CSLU exposées sur Internet.
« Une recherche rapide n’a montré aucune exploitation active [à l’époque], mais des détails, y compris les informations d’identification de la porte dérobée, ont été publiés dans un blog par Nicholas Starke peu de temps après que Cisco a publié son avis. Il n’est donc pas surprenant que nous assistions à une activité d’exploitation », a déclaré Ullrich.
Bien que l’objectif final de ces attaques ne soit pas connu, l’auteur de la menace derrière elles tente également d’exploiter d’autres vulnérabilités de sécurité, y compris ce qui ressemble à une faille de divulgation d’informations avec un exploit de validation de principe public (CVE-2024-0305) affectant les DVR électroniques Guangzhou Yingke.
L’avis de sécurité de Cisco pour CVE-2024-20439 et CVE-2024-20440 indique toujours que son Équipe de réponse aux incidents de sécurité des produits (PSIRT) n’a trouvé aucune preuve que les acteurs de la menace exploitent les deux failles de sécurité dans les attaques.
CVE-2024-20439 n’est pas le premier compte de porte dérobée que Cisco a retiré de ses produits ces dernières années, avec des informations d’identification codées en dur précédemment trouvées dans le Centre d’Architecture de réseau numérique (DNA) de l’entreprise, IOS XE, les Services d’applications étendus (WAAS) et le logiciel d’intervention d’urgence.