近期，攻擊者開始針對未修復漏洞的Cisco智能許可工具（Cisco Smart Licensing Utility, CSLU）實例發起攻擊，該漏洞暴露了一個內置的后門管理員賬戶。

Cisco智能許可工具是一款Windows應用程序，允許管理員在本地環境中管理許可證和關聯產品，而無需將其連接到Cisco基于云的Smart Software Manager解決方案。

漏洞詳情與被利用情況

Cisco于今年9月修復了這一安全漏洞（編號為CVE-2024-20439），并將其描述為“一個未公開的靜態用戶憑證，用于管理員賬戶”。未經驗證的攻擊者可以通過CSLU應用的API遠程登錄未修復的系統，并擁有管理員權限。

此外，Cisco還修復了第二個嚴重的信息泄露漏洞（CVE-2024-20440）。未經驗證的攻擊者可以通過向易受攻擊的設備發送特制的HTTP請求，訪問包含敏感數據（包括API憑證）的日志文件。

這兩個漏洞僅影響運行易受攻擊版本的Cisco智能許可工具的系統，并且只有在用戶啟動CSLU應用時才能被利用——CSLU默認不會在后臺運行。

Aruba威脅研究員Nicholas Starke對這一漏洞進行了逆向工程，并在Cisco發布安全補丁約兩周后發布了一份技術細節報告，其中包括解碼后的硬編碼靜態密碼。

攻擊者已開始利用漏洞

SANS技術研究院的研究主任Johannes Ullrich報告稱，攻擊者已開始在針對暴露在互聯網上的CSLU實例的利用嘗試中，結合使用這兩個安全漏洞。

Ullrich表示：“快速搜索并未顯示[當時]有任何積極的利用活動，但包括后門憑證在內的細節在Cisco發布公告后不久，由Nicholas Starke在博客中公開。因此，我們現在看到一些利用活動并不奇怪?！?/p>

盡管這些攻擊的最終目標尚不清楚，但背后的攻擊者還在嘗試利用其他安全漏洞，包括一個公開有概念驗證利用的信息泄露漏洞（CVE-2024-0305），該漏洞影響廣州盈科電子的DVR設備。

Cisco關于CVE-2024-20439和CVE-2024-20440的安全公告仍表示，其產品安全事件響應團隊（PSIRT）尚未發現威脅行為者在攻擊中利用這兩個安全漏洞的證據。

Cisco產品的其他后門賬戶

CVE-2024-20439并不是Cisco近年來從其產品中移除的第一個后門賬戶。此前，該公司曾在Digital Network Architecture（DNA）Center、IOS XE、Wide Area Application Services（WAAS）和Emergency Responder軟件中發現過硬編碼憑證。