Cisco, yönetici ayrıcalıklarına sahip yama uygulanmamış sistemlere giriş yapmak için kullanılabilen Cisco Akıllı Lisanslama Yardımcı Programı’ndaki (CSLU) bir arka kapı hesabını kaldırdı.
CSLU, Cisco’nun bulut tabanlı Akıllı Yazılım Yöneticisi çözümüne bağlanmadan lisansları ve bağlı ürünleri şirket içinde yönetmeye yardımcı olan bir Windows uygulamasıdır.
Şirket, bu kritik güvenlik açığının (CVE-2024-20439), kimliği doğrulanmamış saldırganların “yönetici hesabına ait belgelenmemiş statik kullanıcı kimlik bilgilerini” kullanarak yama uygulanmamış sistemlere uzaktan giriş yapmasına olanak tanıdığını söylüyor.
“Başarılı bir istismar, saldırganın Cisco Akıllı Lisanslama Yardımcı Programı uygulamasının API’si üzerinden yönetici ayrıcalıklarıyla etkilenen sisteme giriş yapmasına olanak tanıyabilir” açıklaması yapıldı.
Cisco ayrıca, kimliği doğrulanmamış tehdit aktörlerinin, etkilenen cihazlara hazırlanmış HTTP istekleri göndererek hassas veriler (API kimlik bilgileri dahil) içeren günlük dosyalarına erişmek için yararlanabileceği kritik bir CLSU bilgi ifşa güvenlik açığı (CVE-2024-20440) için güvenlik güncellemeleri yayınladı.
İki güvenlik açığı, yazılım yapılandırmalarından bağımsız olarak yalnızca savunmasız bir Cisco Smart Licensing Utility sürümü çalıştıran sistemleri etkiler. Güvenlik açıkları yalnızca bir kullanıcı arka planda çalışmak üzere tasarlanmamış Cisco Smart Licensing Utility’yi başlatırsa kullanılabilir.
| Cisco Akıllı Lisans Yardımcı Programı Sürümü | İlk Sabit Sürüm |
|---|---|
| 2.0.0 | Sabit bir sürüme geçin. |
| 2.1.0 | Sabit bir sürüme geçin. |
| 2.2.0 | Sabit bir sürüme geçin. |
| 2.3.0 | Savunmasız değil. |
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), henüz kamuya açık bir güvenlik açığı veya tehdit aktörlerinin saldırılardaki güvenlik açıklarını istismar ettiğine dair bir kanıt bulamadığını söylüyor.
Bu, Cisco’nun son yıllarda ürünlerinden kaldırdığı ilk arka kapı hesabı değil. Daha önce belgelenmemiş sabit kodlanmış kimlik bilgileri şirketin Dijital Ağ Mimarisi (DNA) Merkezi, IOS XE ve Geniş Alan Uygulama Hizmetleri (WAAS) yazılımlarında bulundu.
Geçtiğimiz ay Cisco ayrıca saldırganların yama uygulanmamış Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) lisans sunucularındaki herhangi bir kullanıcı parolasını değiştirmesine olanak tanıyan maksimum önem derecesindeki bir güvenlik açığını (CVE-2024-20419) yamaladı. Üç hafta sonra şirket, istismar kodunun çevrimiçi olarak yayınlandığını ve yöneticileri olası saldırıları engellemek için SSM On-Prem sunucularını yamalamaları konusunda uyardı.
Cisco, Temmuz ayında, daha önce bilinmeyen kötü amaçlı yazılımları güvenlik açığı bulunan MDS ve Nexus anahtarlarına kök olarak yüklemek için Nisan ayından beri istismar edilen bir NX-OS sıfır günlük açığını (CVE-2024-20399) düzeltti.
Cisco ayrıca Nisan ayında devlet destekli bilgisayar korsanlarının (UAT4356 ve STORM-1849 olarak izleniyor) dünya çapındaki hükümet ağlarına sızmak için iki sıfır günlük açığı (CVE-2024-20353 ve CVE-2024-20359) daha kullandıkları konusunda uyardı