Cisco, yöneticileri, saldırılarda kullanılan yerleşik bir arka kapı yönetici hesabını açığa çıkaran kritik bir Cisco Akıllı Lisans Yardımcı Programı (CSLU) güvenlik açığı ile uyardı.
CSLU, lisansları ve bağlantılı ürünleri şirket içi Cisco’nun bulut tabanlı akıllı yazılım yöneticisi çözümüne bağlamadan yönetmek için bir Windows uygulamasıdır.
Cisco, Eylül ayında bu güvenlik kusurunu (CVE-2024-20439) yamaladı ve bunu, kimlik doğrulanmamış saldırganların Cisco Smart Lisanslama Yardımcı Programı (CSLU) API üzerinden yönetici ayrıcalıklarıyla uzaktan bir şekilde oturum açılmasına izin veren “idari bir hesap için belgelenmemiş statik bir kullanıcı kimlik bilgisi” olarak tanımladı.
CVE-2024-20439 Yalnızca savunmasız Cisco Akıllı Lisanslama Yardımcı Programı sürümlerini çalıştıran sistemleri etkiler, ancak yalnızca kullanıcı CSLU uygulamasını başlatırsa (varsayılan olarak arka planda çalışmaz) kullanılabilir.
Aruba tehdidi araştırmacısı Nicholas Stanste, Cisco’nun güvenlik yamaları yayınladıktan iki hafta sonra güvenlik açığını tersine çevirdi ve teknik ayrıntılarla bir yazı yayınladı (kod çözülmüş hard kodlu statik şifre dahil).
“Mart 2025’te, Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), vahşi doğada bu kırılganlığın sömürülmesi girişiminin farkına vardı.” Dedi. “Cisco, müşterilerin bu güvenlik açığını gidermek için sabit bir yazılım sürümüne yükseltmesini şiddetle tavsiye etmeye devam ediyor.”
İkinci bir güvenlik açığı ile zincirlenmiş
Cisco bu saldırılarla ilgili herhangi bir ayrıntı paylaşmasa da, Sans Teknoloji Enstitüsü’nün Araştırma Dekanı Johannes Ullrich, geçen ay çevrimiçi olarak maruz kalan CSLU örneklerine saldırmak için arka kapı yönetici hesabını kullanan bir kampanya gördü.
Ullrich, Mart ayında tehdit aktörlerinin CVE-2024-20439’u ikinci bir kusurla zincirlediğini, kritik bir CLSU bilgi ifşa güvenlik açığı (CVE-2024-20440), doğrulanmamış saldırganların hassas verileri (API kimlikleri dahil) içeren günlük dosyalarına erişim elde etmek için kullanabileceğini (CVE-2024-20440), sağlanan HTP talepleri göndererek kullanabileceğini söyledi.
“Hızlı bir arama herhangi bir aktif sömürü göstermedi [at the time]ancak arka kapı kimlik bilgileri de dahil olmak üzere detaylar, Cisco’nun danışmanlığını yayınladıktan kısa bir süre sonra Nicholas Starke tarafından bir blogda yayınlandı. Bu yüzden bazı istismar faaliyetleri görmemiz şaşırtıcı değil, “dedi Ullrich.
Pazartesi günü, CISA, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-20439 statik kimlik güvenlik açığı ekledi ve ABD federal ajanslarına 21 Nisan’a kadar sistemlerini üç hafta içinde aktif sömürüye karşı güvence altına almalarını emretti.
Bu, son yıllarda Cisco ürünlerinden kaldırılan ilk arka kapı hesabı değil, iOS XE, Geniş Alan Uygulama Hizmetleri (WAAS), Dijital Ağ Mimarisi (DNA) Merkezi ve Acil Durum Yanıtlayıcı Yazılımında daha önce sabit kodlanmış kimlik bilgileri bulunur.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.