Неизвестные хакеры начали использовать два ультракритических бага в ПО Cisco
Неизвестная группировка начала эксплуатировать две уязвимости в продукте Cisco спустя полгода после выхода патчей к ним. Речь идет о целевой кампании, но определить ее конечное назначение пока невозможно.
9,8 из 10 баллов
Сразу две критические уязвимости в утилите Cisco Smart Licensing Utility оказались в прицеле хакеров в последние месяцы. Оба «бага» получили оценку 9,8 балла из 10 возможных по шкале угроз CVSS.
Индексом CVE-2024-20439 обозначено присутствие в утилите незадокументированных статичных реквизитов доступа с административными полномочиями. Зная их, злоумышленник может войти в систему и перенастроить ее по своему усмотрению.
Под индексом CVE-2024-20440 значится излишне подробный отладочный лог, доступ к которому можно получить через специально созданный http-запрос. Из лога можно извлечь данные, которые позволяет получить доступ к API.
Уязвимости были выявлены в версиях 2.0.0, 2.1.0 и 2.2.0 в ходе внутреннего аудита безопасности и исправлены, предположительно, до того, как злоумышленники начали предпринимать попытки атаковать их. Версии Cisco Smart License Utility, начиная с 2.3.0, этих уязвимостей не содержат.
Для успешной эксплуатации необходимо, чтобы Cisco Smart License Utility была активна в момент атаки.
...И другие уязвимости
Как выяснили эксперты SANS Internet Storm Center, хакеры в настоящее время активно пытаются воспользоваться этими «багами». Тот же кластер угроз предпринимает попытки задействовать другие, менее серьезные уязвимости, такие, например, как пятибалльная CVE-2024-0305 в Guangzhou Yingke Electronic Technology Ncast (впрочем, по классификации американской национальной базы уязвимостей - NVD, - эта уязвимость оценивается в 7,5 баллов, то есть, рассматривается как высокоопасная). Уязвимость, впрочем, затрагивает только продукты, выпущенные до 2017 г..
Каково конечное назначение этой кампании, остается пока неизвестным.
«Однако тот факт, что вышеперечисленные уязвимости активно подвергаются попыткам эксплуатации, означает, что системным администраторам необходимо как можно скорее установить исправления - или заблокировать использование уязвимой утилиты», - считает Никита Павлов, эксперт по информационной безопасности компании SEQ.
По мнению специалиста, только определение значительной части уязвимостей, которые атакует новый кластер, позволит сделать выводы о том, какие цели он преследует.