Cisco sotto attacco: sfruttate due vulnerabilità critiche nella Smart Licensing Utility!

Gli attacchi informatici contro Cisco Smart Licensing Utility sono in aumento, con i ricercatori che hanno recentemente identificato campagne attive che sfruttano due vulnerabilità critiche risolte circa sei mesi fa. Queste falle permettono ai cybercriminali di ottenere accesso non autorizzato a dati sensibili relativi alle licenze e a funzionalità amministrative del software.

Le vulnerabilità, CVE-2024-20439 e CVE-2024-20440, sono state rese pubbliche a settembre 2024 e hanno entrambe un punteggio CVSS di 9,8. La prima consente a un utente remoto non autenticato di accedere al software tramite credenziali hardcoded, creando di fatto una backdoor. La seconda riguarda un file di registro di debug che espone informazioni sensibili, come le credenziali API.

Il ricercatore di sicurezza Nicholas Starke di Aruba (Hewlett Packard Enterprise) ha individuato una password amministrativa statica all’interno delle versioni vulnerabili del software (dalla 2.0.0 alla 2.2.0). Questa credenziale, Library4C$LU, è integrata nell’autenticazione API, permettendo a un attaccante di ottenere privilegi amministrativi se sfruttata con successo.

Gli specialisti del SANS Institute hanno individuato che gli hacker inviano richieste HTTP create ad hoc per sfruttare queste debolezze. In particolare, gli aggressori mirano all’endpoint API in /cslu/v1/scheduler/jobs, utilizzando credenziali hardcoded per autenticarsi.

Decodificando la stringa Base64 nell’intestazione Authorization, emerge che viene usata l’identità cslu-windows-client:Library4C$LU, confermando l’uso delle credenziali scoperte da Starke. Se l’attacco ha successo, gli aggressori ottengono il controllo amministrativo dell’utility, con la possibilità di gestire licenze e accedere a dati sensibili.

Questi attacchi non sono limitati ai prodotti Cisco: lo stesso gruppo di cybercriminali sta cercando di sfruttare anche altre vulnerabilità, come CVE-2024-0305, che colpisce alcuni sistemi DVR.

Secondo Johannes Ullrich, responsabile della ricerca presso SANS, il fatto che dispositivi IoT a basso costo e software aziendali avanzati soffrano di problemi di sicurezza simili, come l’uso di credenziali hardcoded, dimostra quanto siano diffuse queste criticità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.