Ciberseguridad 360 | Cisco advierte sobre una cuenta administrativa oculta en CSLU utilizada en ataques

Cisco ha advertido a los administradores que parcheen una vulnerabilidad cr�tica de Cisco Smart Licensing Utility (CSLU), que expone una cuenta de administrador de puerta trasera integrada que ahora se utiliza en ataques.

CSLU es una aplicaci�n de Windows para la gesti�n de licencias y productos vinculados en las instalaciones sin conectarlos a la soluci�n Smart Software Manager de Cisco basada en la nube.

Cisco parche� este fallo de seguridad (CVE-2024-20439) en septiembre, describi�ndolo como "una credencial de usuario est�tica no documentada para una cuenta administrativa" que permite a los atacantes no autenticados iniciar sesi�n en sistemas no parcheados de forma remota con privilegios de administrador a trav�s de la API de la aplicaci�n Cisco Smart Licensing Utility (CSLU).

CVE-2024-20439 s�lo afecta a los sistemas que ejecutan versiones vulnerables de Cisco Smart Licensing Utility, pero s�lo es explotable si el usuario inicia la aplicaci�n CSLU (que no se ejecuta en segundo plano por defecto).

El investigador de amenazas de Aruba, Nicholas Starke, realiz� ingenier�a inversa de la vulnerabilidad dos semanas despu�s de que Cisco lanzara los parches de seguridad y public� un escrito con detalles t�cnicos (incluyendo la contrase�a est�tica hardcoded descifrada).

"En marzo de 2025, el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) tuvo conocimiento de un intento de explotaci�n de esta vulnerabilidad en la naturaleza", dijo la compa��a en una actualizaci�n del martes al aviso de seguridad original. "Cisco sigue recomendando encarecidamente que los clientes actualicen a una versi�n de software fija para remediar esta vulnerabilidad".

Encadenado con una segunda vulnerabilidad

Aunque Cisco no comparti� ning�n detalle sobre estos ataques, Johannes Ullrich, decano de investigaci�n del SANS Technology Institute, detect� el mes pasado una campa�a que utilizaba la cuenta de administrador de puerta trasera para atacar instancias de CSLU expuestas en l�nea.

Ullrich dijo en marzo que los actores de amenazas est�n encadenando CVE-2024-20439 con un segundo defecto, una vulnerabilidad cr�tica de divulgaci�n de informaci�n CLSU (CVE-2024-20440) que los atacantes no autenticados pueden explotar para obtener acceso a archivos de registro que contienen datos confidenciales (incluyendo credenciales de API) mediante el env�o de peticiones HTTP crafteadas a dispositivos vulnerables.

"Una b�squeda r�pida no mostr� ninguna explotaci�n activa [en ese momento], pero los detalles, incluidas las credenciales de la puerta trasera, se publicaron en un blog de Nicholas Starke poco despu�s de que Cisco publicara su aviso. As� que no es de extra�ar que estemos viendo alguna actividad de explotaci�n", dijo Ullrich.

El lunes, CISA a�adi� la vulnerabilidad de credenciales est�ticas CVE-2024-20439 a su Cat�logo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales de EE.UU. que aseguren sus sistemas contra la explotaci�n activa en un plazo de tres semanas, antes del 21 de abril.

Esta no es la primera cuenta de puerta trasera eliminada de los productos de Cisco en los �ltimos a�os, con credenciales codificadas anteriores encontradas en su IOS XE, Wide Area Application Services (WAAS), Digital Network Architecture (DNA) Center, y el software Emergency Responder.

Fuente: bleepingcomputer