Cisco ha lanzado una alerta para que los administradores parchen una vulnerabilidad crítica en la Cisco Smart Licensing Utility (CSLU), la cual expone una cuenta de administrador backdoor incorporada, actualmente utilizada en ataques.
Esta vulnerabilidad permite a los atacantes acceder a sistemas no parchados de forma remota y con privilegios de administrador.
¿Qué es la Cisco Smart Licensing Utility (CSLU)?
CSLU es una aplicación para Windows que permite gestionar licencias y productos vinculados en sistemas locales, sin necesidad de conectarse a la solución basada en la nube Cisco Smart Software Manager.
Esta herramienta es clave para gestionar las licencias en las infraestructuras locales de las empresas que usan soluciones de Cisco.
La Vulnerabilidad en CSLU (CVE-2024-20439) ️
Cisco descubrió una vulnerabilidad crítica (CVE-2024-20439) que se refiere a una credencial estática no documentada de usuario para una cuenta administrativa dentro de la aplicación CSLU.
Este fallo permite a los atacantes no autenticados ingresar a los sistemas afectados de manera remota, utilizando la API de la herramienta CSLU con privilegios de administrador.
Detalles Importantes de la Vulnerabilidad
- Solo afecta a versiones vulnerables de la aplicación CSLU.
- Es explotable solo si la aplicación CSLU está en ejecución, ya que no se ejecuta en segundo plano de manera predeterminada.
- Cisco publicó un parche en septiembre de 2024 para solucionar esta vulnerabilidad.
Explotación en el Mundo Real
En marzo de 2025, Cisco descubrió que esta vulnerabilidad estaba siendo explotada activamente en el mundo real.
La Cisco Product Security Incident Response Team (PSIRT) identificó intentos de explotación y reforzó la recomendación a los usuarios de actualizar a una versión corregida para mitigar el riesgo.
Además, Nicholas Starke, investigador de amenazas de Aruba, analizó y reveló detalles técnicos de la vulnerabilidad, incluyendo la contraseña estática hardcodeada.
Esto permitió que los atacantes utilizaran la cuenta backdoor en sus campañas de ataque.
Una Exploit Combinada con Otra Vulnerabilidad Crítica (CVE-2024-20440)
Los atacantes no solo están explotando la vulnerabilidad CVE-2024-20439, sino que también están encadenándola con otra falla crítica en CSLU (CVE-2024-20440).
Esta segunda vulnerabilidad permite a los atacantes no autenticados acceder a archivos de registro sensibles, los cuales contienen credenciales de la API, enviando solicitudes HTTP manipuladas a dispositivos vulnerables.
Johannes Ullrich, investigador en el SANS Technology Institute, detectó una campaña de ataques en marzo, que aprovechaba estas vulnerabilidades encadenadas para comprometer instancias de CSLU expuestas en línea.
Acciones de la CISA y Recomendaciones de Cisco ️
La CISA (Agencia de Seguridad Cibernética y Infraestructura de Estados Unidos) agregó la vulnerabilidad CVE-2024-20439 a su Catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales de EE.UU. que aseguren sus sistemas antes del 21 de abril de 2025 para prevenir su explotación activa.
Cisco sigue recomendando encarecidamente que los usuarios actualicen a versiones corregidas del software CSLU para mitigar esta amenaza.
Historial de Cuentas Backdoor en Productos de Cisco
Este incidente no es el primero en el que Cisco encuentra cuentas backdoor en sus productos. En años recientes, se han descubierto credenciales hardcodeadas en otros productos de Cisco, como IOS XE, WAAS (Wide Area Application Services), DNA Center, y Emergency Responder.
Conclusión
La vulnerabilidad CVE-2024-20439 en CSLU representa una amenaza significativa para los sistemas de Cisco que no se han actualizado.
Los administradores deben actuar rápidamente y aplicar los parches de seguridad recomendados para evitar posibles ataques.
Es crucial estar al tanto de las últimas vulnerabilidades y mantener los sistemas protegidos con las actualizaciones de seguridad más recientes.