行業新聞與部落格

思科已警告客戶其智慧許可實用程式產品存在嚴重漏洞，並敦促他們應用軟體更新以防止攻擊。

這兩個漏洞彼此之間沒有依賴關係，但可能允許未經身份驗證的遠端攻擊者在軟體執行時收集敏感資訊或管理系統上的思科智慧許可實用程式服務。這兩個漏洞的CVSS 評分均為 9.8，屬於嚴重級別。

目前沒有解決這些漏洞的解決方法，這意味著客戶必須應用思科提供的新軟體更新來防止漏洞利用。

這些漏洞影響思科智慧許可實用程式 2.0.0、2.1.0 和 2.2.0 版本。

思科表示，截至 2024 年 9 月 4 日，尚未發現任何針對這些漏洞的惡意利用。

思科智慧許可證實用程式管理器是一個基於 Windows 的應用程式，可讓客戶從其場所管理許可證及其相關的產品例項。

如何利用這些漏洞

第一個突出的漏洞 CVE-2024-20439 可以允許遠端攻擊者使用靜態管理憑據登入受影響的系統。

此漏洞是由於未記錄的管理帳戶靜態使用者憑證造成的。成功利用此漏洞可讓攻擊者透過 Cisco Smart Licensing Utility 應用程式的應用程式程式設計介面 (API) 以管理許可權登入受影響的系統。

列出的第二個漏洞 CVE-2024-20440 可能使未經身份驗證的攻擊者透過向受影響的裝置傳送精心設計的 HTTP 請求來訪問敏感資訊。

這是因為除錯日誌檔案中的資訊過於冗長。成功利用該漏洞可讓攻擊者獲取包含敏感資料的日誌檔案，其中包括可用於訪問 API 的憑據。

思科指出，除非使用者啟動思科智慧許可實用程式並積極執行，否則這些漏洞無法被利用。

思科產品成為民族國家攻擊目標

思科強調，截至 2024 年，國家威脅行為者已針對其產品中的漏洞發起了多起攻擊活動。

今年 4 月，該公司重點介紹了一個由國家支援的行為者發起的複雜網路間諜活動，名為 ArcaneDoor ，該活動利用了思科防火牆平臺的兩個漏洞。

思科 7 月份還透露，它已經修補了由中國政府支援的行為者利用來攻擊思科 Nexus 交換機的 零日漏洞。