Cisco waarschuwt klanten voor misbruik van twee kritieke kwetsbaarheden in de Smart Licensing Utility en roept organisaties op om de beschikbaar gestelde updates te installeren. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren. Via de beveiligingslekken kan een aanvaller toegang tot het onderliggende systeem krijgen.

De eerste kwetsbaarheid (CVE-2024-20439) wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De tweede kwetsbaarheid (CVE-2024-20440) wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco kwam op 4 september vorig jaar met updates.

"Deze twee kwetsbaarheden zijn enigszins met elkaar verbonden. De eerste is één van de vele backdoors waar Cisco producten graag van voorziet. Een eenvoudig vast wachtwoord dat is te gebruiken om toegang te krijgen. De tweede betreft een logbestand dat meer logt dan het zou moeten doen", aldus Johannes Ullrich van het Internet Storm Center. Hij meldde vorige maand dat aanvallers misbruik van het lek maakten. Nu laat ook Cisco weten dat aanvallers proberen om misbruik van de kwetsbaarheden te maken. Klanten worden opgeroepen naar een gepatchte versie van de software te upgraden.