CISA cảnh báo việc khai thác lỗ hổng bảo mật trong Cisco Smart Licensing Utility

[WhiteHat Team]

Trong bản cập nhật quan trọng cho danh mục lỗ hổng bị khai thác (Known Exploited Vulnerabilities - KEV), Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) đã bổ sung CVE-2024-20439 (CVSS 9,8) - một lỗ hổng nghiêm trọng liên quan đến Cisco Smart Licensing Utility (CSLU). Quyết định này được đưa ra sau khi các chuyên gia nhận thấy hoạt động khai thác và xu hướng kẻ tấn công kết hợp nhiều lỗ hổng để chiếm quyền truy cập hệ thống.

​

Cisco Smart Licensing Utility (CSLU) là một ứng dụng trên Windows dùng để quản lý giấy phép cho các sản phẩm Cisco tại chỗ mà không cần kết nối với đám mây Smart Software Manager (SSM) của Cisco. Tuy nhiên, khi CSLU bị lộ ra internet mà không được vá các lỗ hổng bảo mật, nó trở thành mục tiêu tấn công hấp dẫn cho tội phạm mạng.

Lỗ hổng bảo mật nghiêm trọng CVE-2024-20439 trong Cisco Smart Licensing Utility (CSLU) cho phép kẻ tấn công từ xa khai thác mà không cần xác thực. Thông qua tài khoản mặc định được nhúng sẵn trong ứng dụng, hacker có thể chiếm quyền quản trị hoàn toàn, kiểm soát API của CSLU, thực hiện các cuộc tấn công leo thang, thay đổi cấu hình và di chuyển ngang trong hệ thống mạng.

Mức độ nguy hiểm gia tăng khi kết hợp với CVE-2024-20440​

Lỗ hổng CVE-2024-20440 thuộc nhóm lỗ hổng tiết lộ thông tin, cho phép kẻ tấn công thu thập dữ liệu nhạy cảm, bao gồm thông tin đăng nhập API, bằng cách gửi các yêu cầu HTTP đặc biệt đến các endpoint của CSLU. Hiện tại, tin tặc đang khai thác đồng thời CVE-2024-20439 và CVE-2024-20440 nhằm tăng cường khả năng xâm nhập và kiểm soát hệ thống mục tiêu.

Giải pháp và khuyến cáo​

Mặc dù CSLU không chạy ngầm theo mặc định, nhưng nếu nó được khởi động trên một hệ thống kết nối internet, thiết bị đó có thể trở thành mục tiêu khai thác. Để giảm thiểu rủi ro, CISA đã yêu cầu các cơ quan thuộc Liên bang Mỹ cập nhật bản vá trước ngày 21/4/2025, đồng thời khuyến cáo các tổ chức khác thực hiện biện pháp tương tự.

Theo Security Online​