Selon Selon le Utility SANS Centre d’orage Internet.
Les deux vulnérabilités critiques en question sont énumérées ci-dessous –
- CVE-2024-20439 (Score CVSS: 9.8) – La présence d’une information d’identification utilisateur statique sans papiers pour un compte administratif qu’un attaquant pourrait exploiter pour se connecter à un système affecté
- CVE-2024-20440 (Score CVSS: 9.8) – Une vulnérabilité résultant d’un fichier journal de débogage excessivement verbeux qu’un attaquant pourrait exploiter pour accéder à ces fichiers au moyen d’une demande HTTP fabriquée et obtenir des informations d’identification qui peuvent être utilisées pour accéder à l’API
L’exploitation réussie des défauts pourrait permettre à un attaquant de se connecter au système affecté avec des privilèges administratifs et d’obtenir des fichiers journaux contenant des données sensibles, y compris des informations d’identification qui peuvent être utilisées pour accéder à l’API.
Cela dit, les vulnérabilités ne sont exploitables que dans les scénarios où l’utilité fonctionne activement.
Le lacunesqui impact les versions 2.0.0, 2.1.0 et 2.2.0, ont depuis été corrigées par Cisco en septembre 2024. La version 2.3.0 de Cisco Smart License Utility n’est pas sensible aux deux bogues.
En mars 2025, des acteurs de menace ont été observés tentant d’exploiter activement les deux vulnérabilités, a déclaré le doyen de la recherche de l’Institut de la technologie Sans Technology, Johannes B. Ullrich, ajoutant que les acteurs de menace non identifiés armement également d’autres défauts, y compris ce qui semble être une faille de divulgation d’informations (CVE-2024-0305CVSS Score: 5.3) dans Guangzhou Yingke Electronic Technology Ncast.
On ne sait actuellement pas quel est l’objectif final de la campagne, ni qui est derrière. À la lumière des abus actifs, il est impératif que les utilisateurs appliquent les correctifs nécessaires pour une protection optimale.