Cisco 智能许可工具漏洞遭攻击者利用，内置后门账户曝光

近期 ，智者利置后攻击者开始针对未修复漏洞的可工Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的具漏后门管理员账户。

Cisco智能许可工具是洞遭一款Windows应用程序，允许管理员在本地环境中管理许可证和关联产品 ，攻击光而无需将其连接到Cisco基于云的用内Smart Software Manager解决方案
。

漏洞详情与被利用情况

Cisco于今年9月修复了这一安全漏洞（编号为CVE-2024-20439），门账并将其描述为“一个未公开的免费模板户曝静态用户凭证 ，用于管理员账户”。智者利置后未经验证的可工攻击者可以通过CSLU应用的API远程登录未修复的系统，并拥有管理员权限。具漏

此外，洞遭Cisco还修复了第二个严重的攻击光信息泄露漏洞（CVE-2024-20440） 。未经验证的模板下载用内攻击者可以通过向易受攻击的设备发送特制的HTTP请求，访问包含敏感数据（包括API凭证）的门账日志文件。

这两个漏洞仅影响运行易受攻击版本的Cisco智能许可工具的系统 ，并且只有在用户启动CSLU应用时才能被利用——CSLU默认不会在后台运行。

Aruba威胁研究员Nicholas Starke对这一漏洞进行了逆向工程，并在Cisco发布安全补丁约两周后发布了一份技术细节报告，云计算其中包括解码后的硬编码静态密码 。

攻击者已开始利用漏洞

SANS技术研究院的研究主任Johannes Ullrich报告称，攻击者已开始在针对暴露在互联网上的CSLU实例的利用尝试中 ，结合使用这两个安全漏洞。

Ullrich表示：“快速搜索并未显示[当时]有任何积极的利用活动，但包括后门凭证在内的高防服务器细节在Cisco发布公告后不久，由Nicholas Starke在博客中公开。因此
，我们现在看到一些利用活动并不奇怪 。”

尽管这些攻击的最终目标尚不清楚，但背后的攻击者还在尝试利用其他安全漏洞，包括一个公开有概念验证利用的信息泄露漏洞（CVE-2024-0305），该漏洞影响广州盈科电子的亿华云DVR设备
。

Cisco关于CVE-2024-20439和CVE-2024-20440的安全公告仍表示
，其产品安全事件响应团队（PSIRT）尚未发现威胁行为者在攻击中利用这两个安全漏洞的证据
。

Cisco产品的其他后门账户

CVE-2024-20439并不是Cisco近年来从其产品中移除的第一个后门账户 。此前，该公司曾在Digital Network Architecture（DNA）Center、服务器租用IOS XE、Wide Area Application Services（WAAS）和Emergency Responder软件中发现过硬编码凭证。