行业新闻与博客

思科已警告客户其智能许可实用程序产品存在严重漏洞，并敦促他们应用软件更新以防止攻击。

这两个漏洞彼此之间没有依赖关系，但可能允许未经身份验证的远程攻击者在软件运行时收集敏感信息或管理系统上的思科智能许可实用程序服务。这两个漏洞的CVSS 评分均为 9.8，属于严重级别。

目前没有解决这些漏洞的解决方法，这意味着客户必须应用思科提供的新软件更新来防止漏洞利用。

这些漏洞影响思科智能许可实用程序 2.0.0、2.1.0 和 2.2.0 版本。

思科表示，截至 2024 年 9 月 4 日，尚未发现任何针对这些漏洞的恶意利用。

思科智能许可证实用程序管理器是一个基于 Windows 的应用程序，可让客户从其场所管理许可证及其相关的产品实例。

如何利用这些漏洞

第一个突出的漏洞 CVE-2024-20439 可以允许远程攻击者使用静态管理凭据登录受影响的系统。

此漏洞是由于未记录的管理帐户静态用户凭证造成的。成功利用此漏洞可让攻击者通过 Cisco Smart Licensing Utility 应用程序的应用程序编程接口 (API) 以管理权限登录受影响的系统。

列出的第二个漏洞 CVE-2024-20440 可能使未经身份验证的攻击者通过向受影响的设备发送精心设计的 HTTP 请求来访问敏感信息。

这是因为调试日志文件中的信息过于冗长。成功利用该漏洞可让攻击者获取包含敏感数据的日志文件，其中包括可用于访问 API 的凭据。

思科指出，除非用户启动思科智能许可实用程序并积极运行，否则这些漏洞无法被利用。

思科产品成为民族国家攻击目标

思科强调，截至 2024 年，国家威胁行为者已针对其产品中的漏洞发起了多起攻击活动。

今年 4 月，该公司重点介绍了一个由国家支持的行为者发起的复杂网络间谍活动，名为 ArcaneDoor ，该活动利用了思科防火墙平台的两个漏洞。

思科 7 月份还透露，它已经修补了由中国政府支持的行为者利用来攻击思科 Nexus 交换机的 零日漏洞。