A Cisco emitiu um alerta sobre a exploração ativa de uma conta de administrador de backdoor presente no Cisco Smart Licensing Utility (CSLU), destacando a necessidade urgente de atualização para versões corrigidas. Essa vulnerabilidade crítica (CVE-2024-20439) foi identificada como uma credencial administrativa estática não documentada, permitindo que invasores remotos não autenticados obtenham acesso total ao sistema através da API do CSLU. Embora corrigida em setembro de 2024, ataques recentes demonstram que muitos sistemas ainda estão vulneráveis.
Leia também
Hacker tenta chantagear usando dados velhos
OpenAI intensifica segurança com Bug Bounty e IA
O CSLU é um aplicativo para Windows utilizado no gerenciamento de licenças de produtos Cisco sem necessidade de conexão à solução baseada em nuvem Smart Software Manager. No entanto, sua falha de segurança só pode ser explorada se o aplicativo estiver em execução, já que ele não roda em segundo plano por padrão. Mesmo assim, pesquisadores de segurança, como Nicholas Starke, analisaram e divulgaram detalhes técnicos da vulnerabilidade, incluindo a senha estática, o que facilitou a sua exploração por agentes maliciosos.
Além da conta de backdoor, os invasores estão explorando uma segunda vulnerabilidade (CVE-2024-20440), que permite a obtenção de credenciais de API e outros dados sensíveis armazenados nos logs do CSLU. O pesquisador Johannes Ullrich, do SANS Technology Institute, relatou que essas falhas estão sendo combinadas para ataques mais eficazes contra instâncias do CSLU expostas na internet. A publicação de detalhes sobre as credenciais da conta administrativa tornou inevitável a exploração ativa dessas brechas.
Diante do risco crescente, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade CVE-2024-20439 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que agências federais protejam seus sistemas até 21 de abril. Essa ação reforça a urgência de atualizar para versões corrigidas do software, evitando acessos não autorizados e comprometimentos de rede.
Essa não é a primeira vez que backdoors são descobertos em produtos Cisco. Casos semelhantes ocorreram anteriormente no IOS XE, WAAS, DNA Center e Emergency Responder. A recorrência dessas vulnerabilidades reforça a importância de práticas rigorosas de segurança e de monitoramento contínuo para evitar explorações que possam comprometer infraestruturas críticas.
