Les utilisateurs de Smart Licencing, un produit de Cisco proposant aux entreprises de gérer les licences produits de l'équipementier, doivent encore redoubler d'efforts en matière de sécurité. Après avoir affrontés en juillet dernier une faille critique dans le système de changement de mot de passe de Smart Software Manager On-Prem, un de ses composants, c'est désormais autour d'Utility d'être concerné par un bug corrigé depuis.
"Une vulnérabilité dans Cisco Smart Licensing Utility (CSLU) pourrait permettre à un attaquant distant non authentifié de se connecter à un système affecté en se servant d'un identifiant administrateur statique", a prévenu Ciso. Cette CVE-2024-20439 (score CVSS 9.8) est due à un identifiant statique non documenté pour un compte administrateur. "Un attaquant pourrait exploiter cette vulnérabilité en utilisant les informations d'identification statiques pour se connecter au système affecté", poursuit le fournisseur. Utility est une application basée sur Windows qui facilite l'administration des licences et des instances de produits associées depuis leurs sites.
Manager On-Prem et Satellite de Cisco épargnés
Le fournisseur a également publié une autre mise à jour relative à CSLU pour corriger une vulnérabilité critique de divulgation d'informations (CVE-2024-20440) que des acteurs non authentifiés peuvent également exploiter. Le but ? Accéder à des fichiers de logs contenant des données sensibles dont des API en envoyant des requêtes HTTP élaborées aux systèmes visés.
Ces deux failles de sécurité n'affectent que les systèmes utilisant une version vulnérable de Smart Licensing Utility, quelle que soit leur configuration logicielle sachant que Manager On-Prem et Satellite ne sont pas concernés par ces trous de sécurité. En outre ces brèches ne sont exploitables que si Utility est en cours d'utilisation.
Commentaire