思科授权管理软件曝重大漏洞,攻击者可获取管理员权限和敏感数据
台北,2024年9月5日– 思科日前发布安全公告,称其旗下授权管理公用程式Smart Licensing Utility存在两项重大漏洞,分别为CVE-2024-20439和CVE-2024-20440,攻击者可利用这些漏洞在未经授权的情况下远程获取管理员权限,并窃取敏感数据。
据iThome报道,这两个漏洞的CVSS风险评分均达到9.8(满分10分),意味着其危害性极高。思科指出,这两个漏洞相互独立,攻击者无需利用其他漏洞即可触发。
漏洞CVE-2024-20439 涉及静态密码漏洞,与未记录的管理帐户有关。攻击者一旦成功利用该漏洞,便可通过API获取管理员权限,并访问Smart Licensing Utility。
漏洞CVE-2024-20440 则可能导致信息泄露,其原因在于调试事件记录中留下了过多的信息。攻击者若能获取相关事件记录文件,便有机会获得能够访问API的账户密码数据。
思科表示,这些漏洞影响2.0.0至2.2.0版本的Smart Licensing Utility,2.3.0版本不受影响。此外,Smart Software Manager On-Prem和Smart Software Manager Satellite也不受影响。
为了降低风险,思科建议用户尽快升级到最新版本的Smart Licensing Utility。目前,除了升级软件之外,没有其他缓解措施能够降低风险。
专家提醒,企业用户应高度重视此安全事件,并采取以下措施:
- 及时更新软件: 尽快升级到最新版本的Smart Licensing Utility,以修复漏洞。
- 加强安全防护: 加强网络安全防护,防止攻击者入侵。
- 定期备份数据: 定期备份重要数据,以防数据丢失。
- 关注安全公告: 密切关注思科和其他安全厂商发布的安全公告,及时了解最新漏洞信息。
此次思科授权管理软件曝出重大漏洞,再次提醒企业用户,网络安全形势严峻,需要时刻保持警惕,加强安全防范措施,避免遭受攻击。
Views: 0