SANS Teknoloji Enstitüsü, Cisco’nun Akıllı Lisans Yardımcı Programı’nı (CSLU) kullanan kuruluşlar için kritik bir uyarı yayınladı ve bu da onları iki ciddi güvenlik açıkına yönelik sistemlerini derhal güncellemeye çağırdı. Eylül 2024’te ilk olarak Cisco tarafından açıklanan bu kusurlar siber güvenlik riskleri oluşturmaktadır. Güvenlik açıkları, saldırganların hassas bilgilere yetkisiz erişim elde etmesine ve hatta etkilenen sistemlerin kontrolünü ele geçirmesine izin verebilir.
Cisco Smart Lisans Yardımcı Programı (CSLU), öncelikle Cisco ürünleri için lisansları yönetmek için daha küçük, şirket içi ve hava kaplı ağlarda kullanılır. Daha karmaşık bulut tabanlı Cisco akıllı lisanslama sisteminin aksine, CSLU, izole ortamlarda lisanslamayı ele almak için daha basit bir yol sunar. Bununla birlikte, bu yeni güvenlik açıkları-CVE-2024-20439 ve CVE-2024-20440-kritik sistemleri siber saldırılara maruz bırakma potansiyelleri nedeniyle sorular sormaktadır.
CVE-2024-20439 ve CVE-2024-20440
TBir VLNCSLU’da keşfedilen silinebilirlikler özellikle sadelikleri ve ciddiyetleri ile ilgilidir. Statik kimlik bilgisi güvenlik açığı olarak da bilinen CVE-2024-20439, saldırganların bir Belgelenmemiş statik kullanıcı kimlik bilgileri, onlara sistemlere idari erişim sağlıyor Cisco Akıllı Lisanslama Yardımcı Programının etkilenen sürümlerini çalıştırın. Bu kusur özellikle tehlikelidir, çünkü kimlik doğrulanmamış kullanıcılar tarafından bile uzaktan sömürülebilir ve saldırganlara uygulamanın API’sı aracılığıyla tam idari ayrıcalıklar sağlar.
İkinci güvenlik açığı olan CVE-2024-20440, bir bilgi açıklama güvenlik açığıdır. Bu kusur, saldırganların CSLU API’sına erişmek için kullanabileceği kimlik bilgileri de dahil olmak üzere hassas bilgileri ortaya çıkarabilen bir hata ayıklama günlük dosyasındaki aşırı milletlikten kaynaklanır. Her iki güvenlik açıkları da kritik öneme sahiptir, Cisco 9.8’lik bir CVSS taban skoru atar ve yüksek şiddetlerini gösterir.
Sömürü ve erken göstergeler
19 Mart raporunda, SANS Teknoloji Enstitüsü araştırma dekanı Johannes Ullrich, bu güvenlik açıkları için istismar girişimlerinin zaten tespit edildiği konusunda uyardı. İstismarlar, Eylül ayında Cisco’nun kamu danışmanlığından kısa bir süre sonra ortaya çıkan arka kapı kimlik bilgilerini hedefliyor. SANS ekibi, bu kimlik bilgilerinin son API çağrılarında kullanıldığını tespit etti. Güvenlik araştırmacısı Nicholas Starke, daha önce kusurları tersine çevrelemiş ve blogunda arka kapı kimlik bilgilerini paylaşmış olması nedeniyle bu şaşırtıcı değil.
Ullrich, kırılganlığın Cisco’nun kamu danışmanlığı tarafından daha da kötüleştiğini vurguladı ve bu da arka kapı kimlik bilgilerinin ayrıntılarını paylaşarak saldırganların sorunu kullanmasını kolaylaştırdı. CSLU-Windows-Slient: Library4C $ LU olarak tanımlanan arka kapı kimlik bilgileri, CSLU API’sını hedefleyen istismar girişimlerinde görülmüştür.
Çözüm
Cisco, Cisco Akıllı Lisanslama Yardımcı Programındaki (CSLU) kritik güvenlik açıkları için hiçbir geçici çözüm bulunmadığını ve tek çözüm Cisco tarafından serbest bırakılan yamaları uygulamaktır. Etkilenen kuruluşlar, 2.0.0, 2.1.0 veya 2.2.0 sürümlerine güncellemeli veya savunmasız olmayan 2.3.0 veya sonraki sürümlere yükseltilmelidir.
Bu durum, sömürü önlemek için zamanında yazılım güncellemelerinin önemini vurgulamaktadır. Aktif saldırılar zaten tespit edildiğinde, kuruluşların sistemlerini güvence altına almak için hemen harekete geçmeleri istenir. Daha fazla bilgi için kullanıcılar Cisco’nun danışma sayfasını ziyaret etmeli veya Cisco Destek ile iletişime geçmelidir.