近期，攻击者开始针对未修复漏洞的Cisco智能许可工具（Cisco Smart Licensing Utility, CSLU）实例发起攻击，该漏洞暴露了一个内置的后门管理员账户。

Cisco智能许可工具是一款Windows应用程序，允许管理员在本地环境中管理许可证和关联产品，而无需将其连接到Cisco基于云的Smart Software Manager解决方案。

漏洞详情与被利用情况

Cisco于今年9月修复了这一安全漏洞（编号为CVE-2024-20439），并将其描述为“一个未公开的静态用户凭证，用于管理员账户”。未经验证的攻击者可以通过CSLU应用的API远程登录未修复的系统，并拥有管理员权限。

此外，Cisco还修复了第二个严重的信息泄露漏洞（CVE-2024-20440）。未经验证的攻击者可以通过向易受攻击的设备发送特制的HTTP请求，访问包含敏感数据（包括API凭证）的日志文件。

这两个漏洞仅影响运行易受攻击版本的Cisco智能许可工具的系统，并且只有在用户启动CSLU应用时才能被利用——CSLU默认不会在后台运行。

Aruba威胁研究员Nicholas Starke对这一漏洞进行了逆向工程，并在Cisco发布安全补丁约两周后发布了一份技术细节报告，其中包括解码后的硬编码静态密码。

攻击者已开始利用漏洞

SANS技术研究院的研究主任Johannes Ullrich报告称，攻击者已开始在针对暴露在互联网上的CSLU实例的利用尝试中，结合使用这两个安全漏洞。

Ullrich表示：“快速搜索并未显示[当时]有任何积极的利用活动，但包括后门凭证在内的细节在Cisco发布公告后不久，由Nicholas Starke在博客中公开。因此，我们现在看到一些利用活动并不奇怪。”

尽管这些攻击的最终目标尚不清楚，但背后的攻击者还在尝试利用其他安全漏洞，包括一个公开有概念验证利用的信息泄露漏洞（CVE-2024-0305），该漏洞影响广州盈科电子的DVR设备。

Cisco关于CVE-2024-20439和CVE-2024-20440的安全公告仍表示，其产品安全事件响应团队（PSIRT）尚未发现威胁行为者在攻击中利用这两个安全漏洞的证据。

Cisco产品的其他后门账户

CVE-2024-20439并不是Cisco近年来从其产品中移除的第一个后门账户。此前，该公司曾在Digital Network Architecture（DNA）Center、IOS XE、Wide Area Application Services（WAAS）和Emergency Responder软件中发现过硬编码凭证。

参考来源：

Critical Cisco Smart Licensing Utility flaws now exploited in attacks