Hackers han comenzado a atacar instancias de Cisco Smart Licensing Utility (CSLU) que aún no han sido parchadas contra una vulnerabilidad que expone una cuenta administrativa secreta preinstalada.
¿Qué es Cisco Smart Licensing Utility (CSLU)?
CSLU es una aplicación para Windows que permite a los administradores gestionar licencias y productos vinculados sin necesidad de conectarse a la nube de Cisco.
Vulnerabilidades críticas en CSLU
Cisco solucionó dos vulnerabilidades críticas en septiembre de 2024:
1️⃣ CVE-2024-20439:
- Se trata de credenciales estáticas no documentadas para una cuenta administrativa secreta.
- Permite a atacantes iniciar sesión remotamente con privilegios de administrador mediante la API de CSLU.
2️⃣ CVE-2024-20440:
- Una falla de divulgación de información.
- Permite a atacantes acceder a archivos de registro sensibles, incluyendo credenciales de API, enviando solicitudes HTTP manipuladas.
Ambas vulnerabilidades requieren que la aplicación CSLU esté ejecutándose, pero no se ejecuta en segundo plano por defecto.
Exploit publicado y ataques en curso
El investigador de seguridad Nicholas Starke revirtió el código y publicó detalles técnicos, incluyendo la contraseña codificada, poco después del parche de Cisco.
Ahora, atacantes han comenzado a explotar estas fallas en sistemas expuestos a Internet.
Según Johannes Ullrich del SANS Technology Institute, los atacantes están combinando estas vulnerabilidades con otras fallas de seguridad como CVE-2024-0305, que afecta a DVRs de Guangzhou Yingke Electronic.
Cisco sigue sin reconocer la explotación activa
Cisco mantiene en su asesoría de seguridad que no ha encontrado evidencia de explotación activa de estas fallas, a pesar de los informes sobre ataques.
Historial de backdoors en Cisco ☠️
No es la primera vez que Cisco elimina cuentas preinstaladas secretas en sus productos. Casos anteriores incluyen:
✅ Digital Network Architecture (DNA) Center
✅ IOS XE
✅ Wide Area Application Services (WAAS)
✅ Emergency Responder
¿Qué hacer?
✔️ Actualizar inmediatamente a la versión parcheada de CSLU.
✔️ Evitar exponer CSLU a Internet.
✔️ Monitorear registros de actividad sospechosa.
✔️ Revisar todas las credenciales API asociadas con CSLU.
Conclusión
Cisco ha solucionado estas vulnerabilidades pero la explotación ya ha comenzado. **Si usas CSLU, actualiza de inmediato o podrías ser el próximo objetivo.