Cisco opravuje dve kritické zraniteľnosti v Smart Licensing Utility

Aplikácia Cisco Smart Licensing Utility obsahuje dve kritické zraniteľnosti, ktoré umožňujú útočníkom získať prihlasovacie údaje pre prístup k API rozhraniu s administrátorskými oprávneniami.

Zraniteľné systémy:

• Cisco Smart License Utility 2.0.0, 2.1.0 a 2.2.0

Opis zraniteľnosti:

Spoločnosť Cisco opravila dve kritické zraniteľnosti v nástroji Smart Licensing Utility. Aby bolo možné ich zneužiť, musí aplikácia bežať.

CVE-2024-20439 (CVSSv3 skóre 9,8)

Zraniteľnosť CVE-2024-20439 súvisí s implementovanými statickými prihlasovacími údajmi pre administrátorský účet. Útočník ich môže zneužiť pre získanie neautorizovaného prístupu do systému.

CVE-2024-20440 (CVSSv3 skóre 9,8)

Zraniteľnosť CVE-2024-20440 umožňuje útočníkovi pomocou špeciálnych HTTP požiadaviek získať logovacie súbory obsahujúce citlivé údaje, vrátane prihlasovacích údajov pre prístup k API rozhraniu aplikácie. Súvisí s ukladaním citlivých informácií do súboru debug logu.

Možné škody:

• Únik citlivých informácií
• Kompromitácia aplikácie

Odporúčania:

Bezodkladná aktualizácia na Cisco Smart License Utility 2.3.0.

Zdroje:

• https://thehackernews.com/2024/09/cisco-fixes-two-critical-flaws-in-smart.html
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw