去年9月思科針對旗下用於授權管理的公用程式Smart Licensing Utility修補重大層級的漏洞CVE-2024-20439、CVE-2024-20440,未經授權的攻擊者可遠端利用,兩者的CVSS風險皆達到9.8分,相當危險,如今傳出有實際嘗試利用的情況。
這兩個漏洞分別與靜態密碼及資訊洩露有關,值得留意的是,在思科發布公告不久,Aruba威脅情報研究員Nicholas Starke找到與CVE-2024-20439有關的密碼,若是IT人員尚未套用新版公用程式,形同對攻擊者開啟後門。
SANS網路風暴中心指出,他們發現有人嘗試利用這些漏洞的跡象。攻擊者疑似利用Nicholas Starke公布的漏洞細節,透過API在網路上尋找尚未修補的Smart Licensing Utility,從而入侵這套公用程式並存取事件記錄,然後利用第二個漏洞CVE-2024-20440。
對於CVE-2024-20440這項漏洞,SANS指出起因是特定的事件記錄檔案收集超過應有範圍的資料,使得攻擊者有機會利用檔案留存的特定資訊,來策畫後續的攻擊行為。
雖然SANS並未透露這波攻擊行動的規模,也沒有說明受害的範圍,但他們提及攻擊者似乎也在執行其他攻擊的現象,其中大部分是挖掘組態檔案/web.config.zip,但也有針對數位攝影機(DVR)漏洞的情況,其中一個是中國盈可視(Ncast)智慧錄影及播放系統的RCE漏洞CVE-2024-0305。
