Новости CSLU под атакой: хакеры массово используют встроенный бэкдор в системах Cisco

[NewsMaker]

Админ-доступ и утечка данных за пару кликов

---

---

В устройствах с Cisco Smart Licensing Utility (CSLU) зафиксированы первые целевые атаки, связанные с критической уязвимостью, которая позволяет злоумышленникам войти в систему через встроенную учётную запись администратора. Уязвимость получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) и была устранена ещё в сентябре 2024 года, однако до сих пор остаются незащищённые экземпляры CSLU.

CSLU — это приложение для Windows, которое помогает администраторам управлять лицензиями Cisco на локальных серверах без необходимости связываться с облачным сервисом Smart Software Manager. Уязвимость представляет собой жёстко зашитые в код статические учётные данные для администратора, позволяющие получить удалённый доступ к API CSLU и выполнять действия с правами суперпользователя без аутентификации.

Дополнительно Cisco устранила ещё одну ошибку — Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.5), которая открывает возможность для получения конфиденциальных логов, содержащих данные вроде API-ключей, путём отправки специально сформированных HTTP-запросов без аутентификации. Обе уязвимости активируются только при ручном запуске CSLU, поскольку приложение не работает в фоновом режиме по умолчанию.

Первые технические подробности об уязвимости появились вскоре после выхода исправлений —специалист Aruba Для просмотра ссылки Войди или Зарегистрируйся подробный анализ, включая расшифрованный пароль от встроенной учётной записи администратора. Это значительно облегчило задачу потенциальным злоумышленникам.

Институт технологий SANS сообщил, что киберпреступники Для просмотра ссылки Войди или Зарегистрируйся обе уязвимости в цепочке атак на открытые в интернете экземпляры CSLU. Хотя изначально признаков эксплуатации выявлено не было, наличие полного описания и доступ к паролям повысили привлекательность уязвимостей для злоумышленников. На текущий момент фиксируются попытки эксплуатации, при этом целевые установки включают не только продукты Cisco.

Анализ показал, что вредоносные действия также распространяются на другие уязвимые устройства, в частности цифровые видеорегистраторы от компании Guangzhou Yingke Electronic, где используется PoC-эксплойт Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.5). Это говорит о широкой кампании по поиску и использованию открытых уязвимостей в сетевых устройствах.

Несмотря на поступающую информацию о попытках атак, Cisco официально утверждает, что её внутренняя команда реагирования на инциденты (PSIRT) Для просмотра ссылки Войди или Зарегистрируйся признаков активной эксплуатации уязвимостей на момент публикации бюллетеня.