De Cisco Smart Licensing Utility is vatbaar voor twee pijnlijke kwetsbaarheden die hackers eenvoudig kunnen misbruiken. Snel patchen is de enige oplossing.
Cisco is niet zo slim geweest met zijn Smart Licensing Utility. Die tool bevat twee kwetsbaarheden met een CVSS-score van 9,8. Noem ze dus gerust kritiek. Beide kwetsbaarheden zijn niet aan elkaar gelinkt, maar laten een aanvaller wel toe om gevoelige informatie te verkrijgen of zelfs de hele licentiedienst over te nemen.
Twee bugs
De eerste bug heet CVE-2024-20439. Die laat aanvallers toe om in te loggen via een statische, hardgecodeerde admin-credential. Wie daarin slaagt, heeft volledige beheerderstoegang.
lees ook
Hackers kunnen wachtwoorden Cisco Smart Software Manager veranderen
De tweede bug, CVE-2024-20440, laat een aanvaller toe om via een HTTP-request log files te vergaren, die gevoelige data bevatten. Dat kan onder andere om inloggegevens voor de API gaan. Zodra hackers die bemachtigen, hebben ze opnieuw volledige controle.
Enkel patch, geen workaround
Cisco merkt op dat de kwetsbaarheden ondanks hun ernst enkel uit te buiten zijn wanneer een gebruiker de Smart Licensing Utility ook echt heeft opgestart en uitvoert. Op dit moment zou de bug nog niet misbruikt zijn door malafide individuen.
Er is een patch beschikbaar en de installatie daarvan is meteen ook de enige optie om je te wapenen tegen de bugs. Cisco laat weten dat er geen tijdelijke workaround bestaat.