Компанія Cisco видалила бекдор-акаунт у програмі Cisco Smart Licensing Utility (CSLU), який можна використовувати для входу в невиправлені системи з правами адміністратора. Про це повідомляє BleepingComputer.
CSLU — це програма для Windows, яка допомагає керувати ліцензіями та зв’язаними продуктами локально, не підключаючи їх до хмарного рішення Cisco Smart Software Manager.
Компанія стверджує, що критична вразливість CVE-2024-20439 дає змогу неавтентифікованим зловмисникам віддалено входити в невиправлені системи, використовуючи недокументовані статичні облікові дані користувача для адміністративного облікового запису.
«Успішний експлойт може дати змогу зловмиснику увійти в уражену систему з правами адміністратора над API програми Cisco Smart Licensing Utility», — пояснили в компанії.
Також Cisco випустила оновлення безпеки для критичної вразливості розкриття інформації CLSU (CVE-2024-20440). Неавтентифіковані суб’єкти загрози можуть використовувати її для доступу до файлів журналу, що містять конфіденційні дані (включно з обліковими даними API), надсилаючи створені HTTP-запити на уражені пристрої.
Дві вразливості безпеки впливають лише на системи, на яких працює вразливий випуск утиліти Cisco Smart Licensing Utility, незалежно від конфігурації програмного забезпечення.
Недоліки безпеки можна використати, лише якщо користувач запускає утиліту Cisco Smart Licensing Utility, яка не призначена для роботи у фоновому режимі.
Команда реагування на інциденти безпеки продуктів Cisco (PSIRT) каже, що поки що не знайшла публічних експлойтів або доказів того, що зловмисники використовують недоліки безпеки під час своїх атак.
Зауважимо, що це не перший бекдор-акаунт, який Cisco видалила зі своїх продуктів. Минулого місяця компанія також виправила вразливість максимального ступеня серйозності CVE-2024-20419, яка дає змогу зловмисникам змінювати будь-який пароль користувача на серверах ліцензій Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) без латок. Через 3 тижні вона повідомила, що код експлойту був опублікований в Інтернеті, і закликала адміністраторів виправити свої сервери SSM On-Prem для блокування потенційних атак.
У липні Cisco виправила помилку нульового дня NX-OS (CVE-2024-20399), яка використовувалася з квітня для встановлення раніше невідомого шкідливого програмного забезпечення на вразливі комутатори MDS і Nexus.
У квітні компанія також попередила, що хакери, відстежувані як UAT4356 і STORM-1849, використали дві інші помилки нульового дня (CVE-2024-20353 і CVE-2024-20359), щоб зламати урядові мережі по всьому світу.
Раніше ми повідомляли, що Cisco представила помічника з генеративним штучним інтелектом для платформи спостереження Cisco AppDynamics разом з інтеграцією до платформи IT Service Intelligence (ITSI) від Splunk і Splunk Log Observer Connect.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!