行業新聞與博客

思科已警告客户其智能許可實用程序產品存在嚴重漏洞，並敦促他們應用軟件更新以防止攻擊。

這兩個漏洞彼此之間沒有依賴關係，但可能允許未經身份驗證的遠程攻擊者在軟件運行時收集敏感信息或管理系統上的思科智能許可實用程序服務。這兩個漏洞的CVSS 評分均為 9.8，屬於嚴重級別。

目前沒有解決這些漏洞的解決方法，這意味着客户必須應用思科提供的新軟件更新來防止漏洞利用。

這些漏洞影響思科智能許可實用程序 2.0.0、2.1.0 和 2.2.0 版本。

思科表示，截至 2024 年 9 月 4 日，尚未發現任何針對這些漏洞的惡意利用。

思科智能許可證實用程序管理器是一個基於 Windows 的應用程序，可讓客户從其場所管理許可證及其相關的產品實例。

如何利用這些漏洞

第一個突出的漏洞 CVE-2024-20439 可以允許遠程攻擊者使用靜態管理憑據登錄受影響的系統。

此漏洞是由於未記錄的管理帳户靜態用户憑證造成的。成功利用此漏洞可讓攻擊者通過 Cisco Smart Licensing Utility 應用程序的應用程序編程接口 (API) 以管理權限登錄受影響的系統。

列出的第二個漏洞 CVE-2024-20440 可能使未經身份驗證的攻擊者通過向受影響的設備發送精心設計的 HTTP 請求來訪問敏感信息。

這是因為調試日誌文件中的信息過於冗長。成功利用該漏洞可讓攻擊者獲取包含敏感數據的日誌文件，其中包括可用於訪問 API 的憑據。

思科指出，除非用户啓動思科智能許可實用程序並積極運行，否則這些漏洞無法被利用。

思科產品成為民族國家攻擊目標

思科強調，截至 2024 年，國家威脅行為者已針對其產品中的漏洞發起了多起攻擊活動。

今年 4 月，該公司重點介紹了一個由國家支持的行為者發起的複雜網絡間諜活動，名為 ArcaneDoor ，該活動利用了思科防火牆平台的兩個漏洞。

思科 7 月份還透露，它已經修補了由中國政府支持的行為者利用來攻擊思科 Nexus 交換機的 零日漏洞。