Cisco waarschuwt voor hardcoded admin-wachtwoord in Smart Licensing Utility

[Captain Kirk]

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Smart Licensing Utility waardoor een ongeauthenticeerde aanvaller op afstand kan inloggen. Het probleem wordt veroorzaakt door een ongedocumenteerd hardcoded admin-wachtwoord, zo laat het bedrijf in een beveiligingsbulletin weten. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren.

"De kwetsbaarheid wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van de kwetsbaarheid (CVE-2024-20439) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Daarnaast heeft Cisco ook een andere kwetsbaarheid (CVE-2024-20440) met een zelfde impactscore verholpen. Dit beveiligingslek wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco zegt niet met misbruik van de kwetsbaarheden bekend te zijn.

 

bron: https://www.security.nl