Бэкдор с рейтингом 9.8: хакеры массово взламывают Cisco оборудование
Админ-доступ и утечка данных за пару кликов.
В устройствах с Cisco Smart Licensing Utility (CSLU) зафиксированы первые целевые атаки, связанные с критической уязвимостью, которая позволяет злоумышленникам войти в систему через встроенную учётную запись администратора. Уязвимость получила идентификатор CVE-2024-20439 (оценка CVSS: 9.8) и была устранена ещё в сентябре 2024 года, однако до сих пор остаются незащищённые экземпляры CSLU.
CSLU — это приложение для Windows, которое помогает администраторам управлять лицензиями Cisco на локальных серверах без необходимости связываться с облачным сервисом Smart Software Manager. Уязвимость представляет собой жёстко зашитые в код статические учётные данные для администратора, позволяющие получить удалённый доступ к API CSLU и выполнять действия с правами суперпользователя без аутентификации.
Дополнительно Cisco устранила ещё одну ошибку — CVE-2024-20440 (оценка CVSS: 7.5), которая открывает возможность для получения конфиденциальных логов, содержащих данные вроде API-ключей, путём отправки специально сформированных HTTP-запросов без аутентификации. Обе уязвимости активируются только при ручном запуске CSLU, поскольку приложение не работает в фоновом режиме по умолчанию.
Первые технические подробности об уязвимости появились вскоре после выхода исправлений —специалист Aruba опубликовал подробный анализ, включая расшифрованный пароль от встроенной учётной записи администратора. Это значительно облегчило задачу потенциальным злоумышленникам.
Институт технологий SANS сообщил, что киберпреступники начали активно использовать обе уязвимости в цепочке атак на открытые в интернете экземпляры CSLU. Хотя изначально признаков эксплуатации выявлено не было, наличие полного описания и доступ к паролям повысили привлекательность уязвимостей для злоумышленников. На текущий момент фиксируются попытки эксплуатации, при этом целевые установки включают не только продукты Cisco.
Анализ показал, что вредоносные действия также распространяются на другие уязвимые устройства, в частности цифровые видеорегистраторы от компании Guangzhou Yingke Electronic, где используется PoC-эксплойт CVE-2024-0305 (оценка CVSS: 7.5). Это говорит о широкой кампании по поиску и использованию открытых уязвимостей в сетевых устройствах.
Несмотря на поступающую информацию о попытках атак, Cisco официально утверждает, что её внутренняя команда реагирования на инциденты (PSIRT) не обнаружила признаков активной эксплуатации уязвимостей на момент публикации бюллетеня.