Cisco heeft een achterdeuraccount verwijderd in de Cisco Smart Licensing Utility (CSLU) dat kan worden gebruikt om in te loggen op niet-gepatchte systemen met administratieve rechten.

CSLU is een Windows-toepassing die helpt bij het beheren van licenties en gekoppelde producten op locatie zonder ze te verbinden met Cisco’s cloudgebaseerde Smart Software Manager-oplossing.

Het bedrijf zegt dat deze kritieke kwetsbaarheid (CVE-2024-20439) niet-geauthenticeerde aanvallers in staat stelt om op afstand in te loggen op niet-gepatchte systemen met behulp van een “ongedocumenteerde statische gebruikersreferentie voor een beheerdersaccount”.

“Een succesvolle exploit zou de aanvaller in staat kunnen stellen om in te loggen op het getroffen systeem met administratieve rechten via de API van de Cisco Smart Licensing Utility-toepassing,” legde het bedrijf uit.

Cisco heeft ook beveiligingsupdates uitgebracht voor een kritieke CLSU-informatieonthullingskwetsbaarheid (CVE-2024-20440) die niet-geauthenticeerde bedreigingsactoren kunnen misbruiken om toegang te krijgen tot logbestanden die gevoelige gegevens bevatten (inclusief API-referenties) door aangepaste HTTP-verzoeken naar getroffen apparaten te sturen.

De twee beveiligingskwetsbaarheden hebben alleen invloed op systemen die een kwetsbare Cisco Smart Licensing Utility-release draaien, ongeacht hun softwareconfiguratie. De beveiligingsfouten zijn alleen uit te buiten als een gebruiker de Cisco Smart Licensing Utility start, die niet is ontworpen om op de achtergrond te draaien.

Het Cisco Product Security Incident Response Team (PSIRT) zegt nog geen publieke exploits of bewijs van bedreigingsactoren die de beveiligingsfouten in aanvallen uitbuiten te hebben gevonden.

Dit is niet de eerste keer dat Cisco een achterdeuraccount uit zijn producten heeft verwijderd in de afgelopen jaren. Eerdere ongedocumenteerde hardcoded referenties werden gevonden in de Digital Network Architecture (DNA) Center, IOS XE, en Wide Area Application Services (WAAS) software van het bedrijf.

Vorige maand patchte Cisco ook een kwetsbaarheid met maximale ernst (CVE-2024-20419) die aanvallers in staat stelt om elk gebruikerswachtwoord te wijzigen op niet-gepatchte Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) licentieservers. Drie weken later zei het bedrijf dat exploitcode online was gepubliceerd en waarschuwde beheerders om hun SSM On-Prem servers te patchen om potentiële aanvallen te blokkeren.

In juli repareerde Cisco een NX-OS zero-day (CVE-2024-20399) dat sinds april was uitgebuit om voorheen onbekende malware als root te installeren op kwetsbare MDS en Nexus switches.

Cisco waarschuwde ook in april dat door de staat gesteunde hackers (gevolgd als UAT4356 en STORM-1849) twee andere zero-day bugs (CVE-2024-20353 en CVE-2024-20359) exploiteerden om wereldwijd regeringsnetwerken te compromitteren.