(https://i.imgur.com/JfBpRQP.png)
Cisco ha instado a los administradores a actualizar de inmediato la vulnerabilidad crítica en Cisco Smart Licensing Utility (CSLU), que expone una cuenta de administrador de puerta trasera actualmente utilizada en ataques cibernéticos.
¿Qué es Cisco Smart Licensing Utility (CSLU)?CSLU es una aplicación de Windows diseñada para gestionar licencias y productos sin necesidad de conectarse a la plataforma en la nube Cisco Smart Software Manager.
Detalles de la vulnerabilidad CVE-2024-20439Esta vulnerabilidad, identificada como CVE-2024-20439, fue parcheada en septiembre de 2024. Se trata de una credencial de usuario estática no documentada que otorga a atacantes no autenticados acceso remoto con privilegios de administrador a través de la API de CSLU.
- Afecta únicamente a versiones vulnerables de CSLU.
- Solo puede explotarse si el usuario inicia la aplicación (no se ejecuta en segundo plano por defecto).
El investigador de amenazas de Aruba, Nicholas Starke, llevó a cabo ingeniería inversa de la vulnerabilidad dos semanas después del lanzamiento del parche y publicó detalles técnicos, incluida la contraseña decodificada.
Ataques en curso y advertencia de CiscoEn marzo de 2025, Cisco PSIRT detectó intentos de explotación activa de esta vulnerabilidad. La compañía enfatiza la importancia de actualizar a la versión corregida para prevenir ataques.
Explotación encadenada con CVE-2024-20440Investigaciones adicionales del Instituto de Tecnología SANS, dirigidas por Johannes Ullrich, han identificado que los atacantes combinan CVE-2024-20439 con otra vulnerabilidad crítica, CVE-2024-20440. Esta segunda falla permite a atacantes no autenticados acceder a archivos de registro con información confidencial, incluidas credenciales de API, mediante solicitudes HTTP maliciosas.
- En marzo de 2025, Ullrich detectó campañas activas explotando ambas vulnerabilidades.
- La combinación de estos ataques incrementa significativamente el riesgo de acceso no autorizado y robo de datos.
Recomendaciones y medidas de seguridadEl Centro de Seguridad Cibernética y de Infraestructura (CISA) de EE.UU. ha agregado CVE-2024-20439 a su catálogo de vulnerabilidades explotadas conocidas. Las agencias federales deben actualizar sus sistemas antes del 21 de abril de 2025 para mitigar el riesgo de ataques.
Cisco ha eliminado anteriormente credenciales codificadas en otros productos como:
- IOS XE
- Wide Area Application Services (WAAS)
- Digital Network Architecture (DNA) Center
- Emergency Responder
La vulnerabilidad en Cisco Smart Licensing Utility representa un riesgo significativo para las organizaciones que aún no han aplicado los parches de seguridad. Se recomienda encarecidamente actualizar de inmediato y revisar configuraciones de seguridad para prevenir accesos no autorizados. Mantener el software actualizado y monitorear actividad sospechosa es clave para fortalecer la ciberseguridad empresarial.
Fuente: https://www.bleepingcomputer.com/