Il recente allarme lanciato dal SANS Internet Storm Center ha rivelato che due vulnerabilità critiche, ora corrette, del Cisco Smart Licensing Utility sono attualmente oggetto di tentativi di sfruttamento attivo. Queste vulnerabilità, identificate come CVE-2024-20439 e CVE-2024-20440, sono state classificate con un punteggio di 9.8 nel sistema CVSS, evidenziando la loro gravità. La prima vulnerabilità riguarda l'esistenza di credenziali utente statiche non documentate per un account amministrativo, che potrebbero essere sfruttate da un attaccante per accedere a un sistema vulnerabile. La seconda vulnerabilità deriva da un file di log di debug eccessivamente dettagliato che un attaccante potrebbe sfruttare per accedere a tali file tramite una richiesta HTTP appositamente confezionata e ottenere credenziali per accedere all'API.

Lo sfruttamento con successo di queste vulnerabilità potrebbe permettere a un attaccante di accedere al sistema con privilegi amministrativi e ottenere file di log contenenti dati sensibili, comprese le credenziali per l'accesso all'API. Tuttavia, queste vulnerabilità sono sfruttabili solo in scenari in cui il software è attivamente in esecuzione. Cisco ha rilasciato una patch per queste vulnerabilità a settembre 2024 e la versione 2.3.0 del Cisco Smart License Utility non è soggetta a queste due problematiche.

A partire da marzo 2025, sono stati osservati tentativi attivi di sfruttare queste due vulnerabilità. Secondo il Dean of Research del SANS Technology Institute, Johannes B. Ullrich, attori di minacce non identificati stanno anche usando altre vulnerabilità, tra cui quella che sembra essere un difetto di divulgazione delle informazioni (CVE-2024-0305) in Guangzhou Yingke Electronic Technology Ncast. Non è ancora noto quale sia l'obiettivo finale di questa campagna o chi ci sia dietro. Alla luce dell'abuso attivo, è fondamentale che gli utenti applichino le patch necessarie per garantire una protezione ottimale.

In sintesi, la scoperta di queste vulnerabilità e i tentativi di sfruttarle sottolineano l'importanza di mantenere aggiornati i sistemi con le ultime patch di sicurezza fornite dai produttori. La protezione delle infrastrutture IT contro le minacce in evoluzione è essenziale per prevenire accessi non autorizzati e la compromissione dei dati sensibili. Gli amministratori di sistema e i professionisti della sicurezza devono rimanere vigili e adottare le misure necessarie per mitigare i rischi associati a queste vulnerabilità critiche.