Cisco a eliminat un cont backdoor din Utilitarul de Licențiere Inteligentă Cisco (CSLU) care poate fi folosit pentru a vă conecta la sisteme neactualizate cu privilegii de administrator.
CSLU este o aplicație Windows care ajută la gestionarea licențelor și a produselor asociate pe site fără a le conecta la soluția Smart Software Manager bazată pe cloud a Cisco.
Compania spune că această vulnerabilitate critică (CVE-2024-20439) permite atacatorilor neautentificați să se conecteze la sistemele neactualizate de la distanță folosind un „credențial de utilizator static nedocumentat pentru un cont de administrator”.
„Un exploit reușit ar putea permite atacatorului să se conecteze la sistemul afectat cu privilegii de administrator peste API-ul aplicației Utilitarul de Licențiere Inteligentă Cisco”, a explicat aceasta.
Cisco a lansat, de asemenea, actualizări de securitate pentru o vulnerabilitate critică de divulgare a informațiilor CLSU (CVE-2024-20440) pe care actorii de amenințări neautentificați le pot exploata pentru a accesa fișierele de jurnal care conțin date sensibile (inclusiv credențiale API) trimițând cereri HTTP create către dispozitivele afectate.
Cele două vulnerabilități de securitate afectează doar sistemele care rulează o versiune vulnerabilă a Utilitarului de Licențiere Inteligentă Cisco, indiferent de configurarea lor software. Defecțiunile de securitate sunt exploatabile doar dacă un utilizator pornește Utilitarul de Licențiere Inteligentă Cisco, care nu este proiectat să ruleze în fundal.
Echipa de Răspuns la Incidentele de Securitate a Produselor Cisco (PSIRT) spune că încă nu a găsit exploatări publice sau dovezi că actorii de amenințări exploatează defecțiunile de securitate în atacuri.
Acesta nu este primul cont backdoor pe care Cisco l-a eliminat din produsele sale în ultimii ani. Credențialele anterioare nedocumentate și fixe au fost găsite în Centrul de Arhitectură a Rețelei Digitale (DNA) al companiei, IOS XE și software-ul Wide Area Application Services (WAAS).
Luna trecută, Cisco a patch-uit, de asemenea, o vulnerabilitate de severitate maximă (CVE-2024-20419) care permite atacatorilor să schimbe orice parolă de utilizator pe serverele de licențe Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) neactualizate. Trei săptămâni mai târziu, compania a spus că codul de exploatare a fost publicat online și a avertizat administratorii să-și actualizeze serverele SSM On-Prem pentru a bloca posibilele atacuri.
În iulie, Cisco a remediat un zero-day NX-OS (CVE-2024-20399) care fusese exploatat din aprilie pentru a instala malware anterior necunoscut ca root pe comutatoarele vulnerabile MDS și Nexus.
Cisco a avertizat și în aprilie că hackerii sprijiniți de stat (urmăriți ca UAT4356 și STORM-1849) au exploatat alte două bug-uri zero-day (CVE-2024-20353 și CVE-2024-20359) pentru a sparge rețelele guvernamentale la nivel mondial
Hackerii folosesc exploit-ul PHP pentru a backdoor sistemele Windows cu malware nou
Hackerii injectează JS rău intenționat în magazinul Cisco pentru a fura carduri de credit, credențiale
Se lansează un nou Windows PowerToy, rearanjează aplicațiile în layout-urile salvate
Microsoft încearcă să reducă dezordinea de pe desktop a Windows 11
Update-ul Windows 10 KB5041582 a fost lansat cu 5 modificări și corecții
Leave a Reply