Cisco sotto attacco: sfruttate due vulnerabilità critiche nella Smart Licensing Utility!

Redazione RHC : 21 Marzo 2025 08:42

Gli attacchi informatici contro Cisco Smart Licensing Utility sono in aumento, con i ricercatori che hanno recentemente identificato campagne attive che sfruttano due vulnerabilità critiche risolte circa sei mesi fa. Queste falle permettono ai cybercriminali di ottenere accesso non autorizzato a dati sensibili relativi alle licenze e a funzionalità amministrative del software.

Le vulnerabilità, CVE-2024-20439 e CVE-2024-20440, sono state rese pubbliche a settembre 2024 e hanno entrambe un punteggio CVSS di 9,8. La prima consente a un utente remoto non autenticato di accedere al software tramite credenziali hardcoded, creando di fatto una backdoor. La seconda riguarda un file di registro di debug che espone informazioni sensibili, come le credenziali API.

Il ricercatore di sicurezza Nicholas Starke di Aruba (Hewlett Packard Enterprise) ha individuato una password amministrativa statica all’interno delle versioni vulnerabili del software (dalla 2.0.0 alla 2.2.0). Questa credenziale, Library4C$LU, è integrata nell’autenticazione API, permettendo a un attaccante di ottenere privilegi amministrativi se sfruttata con successo.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli specialisti del SANS Institute hanno individuato che gli hacker inviano richieste HTTP create ad hoc per sfruttare queste debolezze. In particolare, gli aggressori mirano all’endpoint API in /cslu/v1/scheduler/jobs, utilizzando credenziali hardcoded per autenticarsi.

Decodificando la stringa Base64 nell’intestazione Authorization, emerge che viene usata l’identità cslu-windows-client:Library4C$LU, confermando l’uso delle credenziali scoperte da Starke. Se l’attacco ha successo, gli aggressori ottengono il controllo amministrativo dell’utility, con la possibilità di gestire licenze e accedere a dati sensibili.

Questi attacchi non sono limitati ai prodotti Cisco: lo stesso gruppo di cybercriminali sta cercando di sfruttare anche altre vulnerabilità, come CVE-2024-0305, che colpisce alcuni sistemi DVR.

Secondo Johannes Ullrich, responsabile della ricerca presso SANS, il fatto che dispositivi IoT a basso costo e software aziendali avanzati soffrano di problemi di sicurezza simili, come l’uso di credenziali hardcoded, dimostra quanto siano diffuse queste criticità.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli