Multiples vulnérabilités critiques affectant Cisco Smart Licensing Utility

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/056

Date de l’alerte : 10/09/2024

APERÇU :

Deux vulnérabilités critiques ont été identifiées dans l’outil Cisco Smart Licensing Utility qui permettrait l’exploitation des identifiants statiques et une exposition de données sensibles sans authentification.

DESCRIPTION :

Cisco Smart Licensing Utility est un outil utilisé par Cisco pour simplifier et automatiser le processus de gestion des licences logicielles sur ses appareils et services. Il permet aux entreprises de gérer plus efficacement leurs licences, en vérifiant automatiquement l’activation et la conformité des licences sur les différents équipements déployés. 

Cet outil est affecté par deux vulnérabilités libellées comme suit :   

  • CVE-2024-20439 : cette vulnérabilité permettrait à un acteur malveillant non authentifié d’obtenir un accès administratif en exploitant des identifiants statiques et non documentées. À l’aide de ces identifiants, un acteur malveillant peut se connecter au système avec des privilèges administratifs complets via l’API de l’application. Cette vulnérabilité est classée critique, avec un score de sévérité de 9.8 selon le CVSSV3. 
  • CVE-2024-20440 : cette vulnérabilité est due à des pratiques de journalisation excessives dans un fichier journal de débogage. Un acteur malveillant pourrait exploiter cette faille en envoyant des requêtes HTTP spécialement conçues pour récupérer des fichiers journaux contenant des données sensibles, y compris des informations d’identification susceptibles de faciliter l’accès à l’API. Cette vulnérabilité est classée critique, avec un score de sévérité de 7.5 selon le CVSSV3. 

IMPACT :

  • Atteinte à la confidentialité des données ;
  • Exposition de données sensibles ;
  • Compromission de l’intégrité du système. 

SYSTÈMES AFFECTÉS : 

  • Cisco Smart Licensing Utility versions 2.00 ;
  • Cisco Smart Licensing Utility versions 2.1.0 ;
  • Cisco Smart Licensing Utility versions 2.2.0.

MESURES À PRENDRE : 

  • Mettre à jour Cisco Smart Licensing Utility vers la version 2.3.0 ou ultérieures. 

RÉFÉRENCES :

Partagez sur vos réseaux.