Cisco ha lanzado actualizaciones para abordar dos vulnerabilidades críticas que afectan su Smart Licensing Utility, lo que podría permitir a atacantes remotos sin autenticación elevar sus privilegios o acceder a información sensible.
La primera vulnerabilidad, conocida como CVE-2024-20439 (CVSS score: 9.8), implica una credencial estática no documentada para una cuenta administrativa que un atacante podría aprovechar para iniciar sesión en un sistema afectado.
Mientras que la segunda vulnerabilidad, CVE-2024-20440 (CVSS score: 9.8), surge debido a un archivo de registro de depuración extremadamente detallado que un atacante podría explotar para acceder a archivos mediante una solicitud HTTP elaborada y obtener credenciales para acceder a la API.
Cisco señala que estos problemas «no son explotables a menos que la Smart Licensing Utility de Cisco haya sido iniciada por un usuario y esté en funcionamiento activo».
Las actualizaciones no impactan a los productos Smart Software Manager On-Prem y Smart Software Manager Satellite.
Los usuarios de Cisco Smart License Utility en las versiones 2.0.0, 2.1.0 y 2.2.0 se les insta a actualizar a una versión corregida. La versión 2.3.0 del software no es susceptible al fallo.
Además, Cisco ha lanzado actualizaciones para solucionar una vulnerabilidad de inyección de comandos en su Identity Services Engine (ISE), que podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en un sistema operativo subyacente y elevar privilegios a root.
La vulnerabilidad, identificada como CVE-2024-20469 (CVSS score: 6.0), requiere que el atacante tenga privilegios de administrador válidos en el dispositivo afectado.
Cisco advierte que hay un código de exploit de prueba de concepto (PoC) disponible, aunque no tiene conocimiento de ninguna explotación maliciosa del fallo.
Vía The Hacker News