Dve kritične ranjivosti su aktivno iskorišćene u Cisco Smart Licensing Utility-u , potencijalno omogućavajući napadačima da dobiju administrativni pristup pogođenim sistemima.
Organizacije koje koriste ranjive verzije softvera pozivaju se da odmah primjene zakrpe jer pokušaji eksploatacije nastavljaju da rastu.
Prema nedavnim izvještajima SANS-ovog Internet Storm centra, dvije kritične sigurnosne greške praćene kao CVE-2024-20439 i CVE-2024-20440 u Cisco Smart Licensing Utility-u se trenutno eksploatišu u divljini.
Ranjivosti, otkrivene u septembru 2024., ali koje sada vide aktivnu eksploataciju od marta 2025., mogle bi omogućiti neovlaštenim napadačima da steknu administrativnu kontrolu nad pogođenim sistemima.
CVE-2024-20439 (CVSS rezultat: 9,8)
Napadači bez autentifikacije mogu se prijaviti na pogođene sisteme s punim administrativnim privilegijama preko CSLU API-ja, omogućavajući potpuni kompromis sistema.
Zahtijeva da CSLU bude aktivno pokrenut (nije pozadinski servis prema zadanim postavkama). Napadači koriste statičke kredencijale da zaobiđu autentifikaciju.
CVE-2024-20440 (CVSS rezultat: 9,8)
Prevelika opširnost u evidencijama otklanjanja grešaka, omogućavajući napadačima da dohvate datoteke evidencije koje sadrže API kredencijale putem kreiranih HTTP zahtjeva.
Uticaj uključuje izlaganje osjetljivih podataka, uključujući kredencijale za bočno kretanje ili uporni pristup. Greška je često povezana sa CVE-2024-20439 za eskalaciju privilegija i izvlačenje kredencijale iz dnevnika
„Ranjivosti ne zavise jedna od druge“, naveo je Cisco u svom bezbjednosnom savetu. “Iskorišćavanje jedne od ranjivosti nije potrebno da bi se iskoristila druga ranjivost.”
Sažetak ranjivosti je dat u nastavku:
| Faktori rizika | CVE-2024-20439 | CVE-2024-20440 |
| Pogođeni proizvodi | Cisco Smart Licensing Utility verzije 2.0.0, 2.1.0, 2.2.0 | Cisco Smart Licensing Utility verzije 2.0.0, 2.1.0, 2.2.0 |
| Uticaj | Potpun administrativni pristup preko tvrdo kodiranih statičkih vjerodajnica | Izlaganje osjetljivih podataka (npr. API vjerodajnice) putem opširnih dnevnika otklanjanja grešaka |
| Preduvjeti za eksploataciju | CSLU se mora ručno pokrenuti i aktivno pokrenuti | CSLU mora biti pokrenut; napadač šalje izrađene HTTP zahtjeve |
| CVSS 3.1 Score | 9.8 (kritično) | 9.8 (kritično) |
Uticaj i pogođeni sistemi
Ove ranjivosti utiču na Cisco Smart Licensing Utility verzije 2.0.0, 2.1.0 i 2.2.0. Ove sigurnosne greške ne utiču na verziju 2.3.0. Vrijedi napomenuti da je eksploatacija moguća samo kada je uslužni program aktivno pokrenut.
Johannes B. Ullrich, dekan istraživanja na SANS tehnološkom institutu, potvrdio je da neidentifikovani hakeri aktivno iskorišćavaju ove ranjivosti, zajedno s drugim nedostacima, uključujući ono što se čini kao ranjivost otkrivanja informacija (CVE-2024-0305) u Guangzhou Yingke Electronic Technology Ncast.
Američka agencija za sajber i infrastrukturnu sigurnost (CISA) dodala je CVE-2024-20439 u svoj katalog poznatih eksploatiranih ranjivosti (KEV) 31. marta 2025., zahtijevajući od saveznih agencija da implementiraju potrebne popravke do 21. aprila 2025. Ovaj popis naglašava ozbiljnost ovih aktivnih problema.
Cisco je objavio ažuriranja softvera koja rješavaju ove ranjivosti, ali nema dostupnih rješenja. Organizacije moraju nadograditi na verziju 2.3.0 Cisco Smart License Utility, koji nije ranjiv na ove probleme.
„U svjetlu aktivne zloupotrebe, imperativ je da korisnici primjene neophodne zakrpe za optimalnu zaštitu“, naglasili su istraživači sigurnosti.
Ranjivosti je prvobitno otkrio Eric Vance iz Cisco-a tokom internog testiranja sigurnosti . Iako su pronađeni u septembru 2024., pokušaji eksploatacije nisu uočeni sve do marta 2025., naglašavajući trajni rizik od nezakrpljenih ranjivosti.
Izvor: CyberSecurityNews
