Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), vahşi doğada aktif sömürünün onaylanmasının ardından bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kritik bir Cisco güvenlik açığı ekledi.
CVE-2024-20439 olarak tanımlanan kusur, Cisco Akıllı Lisanslama Yardımcı Programını (CSLU) etkiler ve kimlik doğrulanmamış, uzak saldırganların belgelenmemiş, statik bir kimlik bilgisi aracılığıyla etkilenen sistemlere idari erişim kazanmalarına izin verir.
CWE-912 (gizli işlevsellik) altında sınıflandırılan güvenlik açığı, CVSS taban skoru 9.8 ile kritik bir şiddet taşır.
Cisco’nun güvenlik danışmanlığına göre, kusur “kimlik doğrulanmamış, uzak bir saldırganın statik bir idari kimlik bilgisi kullanarak etkilenen bir sisteme giriş yapmasına izin verebilir.”
Cisco Akıllı Lisanslama Yardımcı Programı Kimlik Bilgisi Güvenlik Açığı
Bu arka kapı benzeri erişim, uygulamanın içine yerleştirilmiş sabit kodlanmış kimlik bilgileri nedeniyle mevcuttur ve saldırganlara CSLU API’sı üzerinde tam idari ayrıcalıklar sağlar.
Güvenlik araştırmacıları, saldırganlar savunmasız sistemleri tanımladıktan sonra sömürünün nispeten basit olduğunu kaydetti.
SANS Teknoloji Enstitüsü’nde araştırma dekanı Johannes Ullrich, tehdit aktörlerinin özellikle arka kapı kimlik bilgileri de dahil olmak üzere teknik detayların çevrimiçi olarak yayınlanmasından sonra bu güvenlik açığını aktif olarak kullandıklarını doğruladı.
“Bazı istismar faaliyetleri görmemiz şaşırtıcı değil,” dedi Ullrich vahşi doğadaki saldırıları gözlemledikten sonra.
Saldırganların CVE-2024-20439’u aynı üründe başka bir kritik güvenlik açığı olan CVE-2024-20440 (CVSS 9.8) ile zincirlediği bildiriliyor, bu da hata ayıklama günlük dosyalarından hassas verilerin çıkarılmasını sağlayan bir bilgi açıklama kusuru.
Bu güvenlik açıklarının kombinasyonu, saldırganların daha ileri sistem uzlaşması için hem idari erişim hem de hasat kimlik bilgileri kazanmasına izin veren özellikle tehlikeli bir saldırı vektörü oluşturur.
Bu sömürü girişimlerinin arkasındaki tehdit aktörleri, Guangzhou Yingke elektronik DVR’lerini etkileyen CVE-2024-0305 de dahil olmak üzere diğer güvenlik açıklarını hedefliyor.
Güvenlik açığının özeti aşağıda verilmiştir:
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Cisco Akıllı Lisans Yardımcı Program Sürümleri 2.0.0 ila 2.2.0 (Sürüm 2.3.0 hariç) |
| Darbe | Yasalsız, uzak saldırganların statik yönetimsel kimlik bilgilerini kullanarak oturum açmasına izin verir |
| Önkoşuldan istismar | Cisco Smart Lisans Yardımcı Programı manuel olarak başlatılır ve aktif olarak çalışır |
| CVSS 3.1 puanı | 9.8 (kritik) |
Etkilenen ürünler ve iyileştirmeler
Güvenlik açığı, Cisco Smart Lisans Yardımcı Programı Sürümleri 2.0.0 ila 2.2.0 ile 2.3.0 sürümünü savunmasız olarak doğrulamaktadır. CISA, tüm Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 21 Nisan 2025’e kadar yamalar uyguladığını zorunlu kılmıştır.
Bu güvenlik açıklarının, varsayılan olarak arka planda çalışmadığı için yalnızca CSLU’nun manuel olarak başlatıldığı sistemleri etkilediğini belirtmek önemlidir.
Ancak, uygulamayı bir kez internet bağlantılı bir ana bilgisayarda başlatmak bile bir sömürü fırsatı yaratabilir.
Kuruluşlar aşağıdaki eylemleri yapabilir:
- Cisco Akıllı Lisanslama Yardımcı Programı Sürüm 2.3.0 veya üstüne güncelleme hemen
- Yamalama hemen mümkün değilse, CSLU örneklerine erişimi kısıtlamak için ağ segmentasyonunu uygulayın
- Yetkisiz Erişim Denemeleri için Sistemleri İzleyin
- İyileştirmeyi gerektiren diğer aktif olarak sömürülen güvenlik açıkları için CISA’nın KEV kataloğunu inceleyin
Kuruluşlar, kritik doğası, sömürü kolaylığı ve aktif saldırıların teyiti göz önüne alındığında bu güvenlik açığının ele alınmasına öncelik vermelidir.
CISA KEV kataloğu, sömürülen güvenlik açıklarını izlemek için yetkili kaynak olmaya devam ettikçe, güvenlik ekipleri bunu güvenlik açığı yönetimi önceliklendirme çerçevelerine dahil etmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free