Les pirates exploitent ces deux failles critiques dans Cisco Smart Licensing Utility !
Les instances de Cisco Smart Licensing Utility (CSLU) sont actuellement ciblées par des cyberattaquants exploitant 2 failles de sécurité corrigées en 2024 par Cisco. Quels sont les risques ? Faisons le point.
Chaine d'exploitation : CVE-2024-20439 et CVE-2024-20440
Dans un nouveau rapport, le chercheur en sécurité du SANS Technology Institute, Johannes Ullrich, évoque l'exploitation de deux failles de sécurité présentes dans Cisco Smart Licensing Utility. Cette application, développée pour Windows, permet aux administrateurs de gérer les licences et les produits associés en local, sans connexion à la plateforme cloud de Cisco.
Les cybercriminels exploitent la faille de sécurité CVE-2024-20439 corrigée en septembre 2024 par Cisco, mais ce n'est pas tout. En effet, une autre vulnérabilité, associée à la référence CVE-2024-20440 est également exploitée.
- CVE-2024-20439 : cette vulnérabilité repose sur l'utilisation d'un compte administrateur inscrit en dur dans l'application (comme une porte dérobée). Elle permet à un attaquant de se connecter à distance avec des privilèges élevés via l'API de l'application CSLU.
- CVE-2024-20440 : cette vulnérabilité permet à des attaquants non authentifiés d'accéder à des journaux contenant des informations sensibles, y compris des identifiants d'API, en envoyant des requêtes HTTP malveillantes.
Concrètement, en exploitant la première vulnérabilité, un attaquant peut accéder au fichier journal, et donc à des informations sensibles.
"Une recherche rapide n'a pas révélé d'exploitation active, mais des détails, y compris les identifiants de la porte dérobée, ont été publiés sur un blog par Nicholas Starke peu après que Cisco a publié son avis. Il n'est donc pas surprenant de constater une certaine activité d'exploitation.", précise le chercheur. Il fait référence à cette page au sein de laquelle nous pouvons trouver le fameux mot de passe en question.
Comment se protéger ?
Comme l'explique Cisco, vous devez mettre à jour l'application Smart Licensing Utility pour vous protéger de ces deux vulnérabilités (CVE-2024-20439 et CVE-2024-20440). Les versions suivantes sont vulnérables :
- Versions 2.0.x
- Versions 2.1.x
- Versions 2.2.x
Vous devez passer sur Cisco Smart Licensing Utility 2.3.0 ou une version supérieure pour vous protéger.
Enfin, il est important de préciser que ces failles ne sont exploitables que si l'application est active sur la machine de l'utilisateur (action manuelle), car elle ne fonctionne pas en arrière-plan par défaut.
