CSLU bajo ataque: los hackers utilizan masivamente una puerta trasera integrada en los sistemas de Cisco

Se han registrado los primeros ataques dirigidos en dispositivos con Cisco Smart Licensing Utility (CSLU) relacionados con una vulnerabilidad crítica que permite a los atacantes acceder al sistema a través de una cuenta de administrador incorporada. La vulnerabilidad recibió el identificador CVE-2024-20439 (puntuación CVSS: 9.8) y fue corregida en septiembre de 2024, pero aún existen instancias no protegidas de CSLU.

CSLU es una aplicación para Windows que ayuda a los administradores a gestionar las licencias de Cisco en servidores locales sin la necesidad de conectarse al servicio en la nube Smart Software Manager. La vulnerabilidad consiste en credenciales estáticas para el administrador, incrustadas en el código, que permiten obtener acceso remoto a la API de CSLU y ejecutar acciones con privilegios de superusuario sin autenticación.

Además, Cisco corrigió otro error: CVE-2024-20440 (puntuación CVSS: 7.5), que permite acceder a registros confidenciales que contienen datos como claves API mediante el envío de solicitudes HTTP especialmente formateadas sin autenticación. Ambas vulnerabilidades solo se activan al ejecutar manualmente CSLU, ya que la aplicación no funciona en segundo plano de forma predeterminada.

Los primeros detalles técnicos sobre la vulnerabilidad aparecieron poco después de la publicación de las correcciones: un especialista de Aruba publicó un análisis detallado, que incluía la contraseña descifrada de la cuenta de administrador incorporada. Esto facilitó en gran medida la tarea de los posibles atacantes.

El Instituto de Tecnologías SANS informó que los ciberdelincuentes comenzaron a explotar activamente ambas vulnerabilidades en una cadena de ataques a instancias de CSLU expuestas en Internet. Aunque inicialmente no se detectaron signos de explotación, la disponibilidad de una descripción completa y el acceso a las contraseñas aumentaron la atractividad de las vulnerabilidades para los atacantes. Actualmente, se están registrando intentos de explotación, y los objetivos incluyen no solo productos de Cisco.

El análisis mostró que las acciones maliciosas también afectan a otros dispositivos vulnerables, como los grabadores de video digital de la empresa Guangzhou Yingke Electronic, donde se utiliza un PoC de explotación CVE-2024-0305 (puntuación CVSS: 7.5). Esto indica una amplia campaña de búsqueda y explotación de vulnerabilidades abiertas en dispositivos de red.

A pesar de la información recibida sobre los intentos de ataque, Cisco afirma oficialmente que su equipo interno de respuesta a incidentes (PSIRT) no ha detectado signos de explotación activa de las vulnerabilidades al momento de la publicación del boletín.