Cisco advierte sobre vulnerabilidad crítica en Smart Licensing Utility (CSLU) con cuenta backdoor explotada en ataques
Cisco ha emitido una alerta urgente para que los administradores parchen una vulnerabilidad crítica en su herramienta Cisco Smart Licensing Utility (CSLU), la cual incluye una cuenta de administrador oculta (backdoor) que está siendo activamente explotada en ataques. Esta falla, catalogada como CVE-2024-20356, permite a actores maliciosos obtener privilegios elevados y comprometer sistemas sin autenticación previa.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad reside en una cuenta administrativa integrada en CSLU, diseñada originalmente para propósitos de diagnóstico. Sin embargo, esta cuenta no puede ser deshabilitada o modificada mediante configuraciones estándar, lo que la convierte en un vector de ataque persistente. Los atacantes pueden:
- Ejecutar comandos con privilegios de administrador (root o SYSTEM).
- Bypass mecanismos de autenticación mediante solicitudes HTTP/S no validadas.
- Instalar malware o exfiltrar datos sensibles.
Según Cisco, el riesgo es particularmente alto en entornos donde CSLU está expuesto a redes no confiables o a Internet. La herramienta se utiliza comúnmente para gestionar licencias de software en dispositivos Cisco, incluyendo routers, switches y firewalls.
Impacto y mitigaciones recomendadas
El CVSS v3.1 asigna un puntaje de 9.8 (Crítico) debido a la facilidad de explotación y el bajo requerimiento de interacción del atacante. Cisco recomienda las siguientes acciones inmediatas:
- Actualizar a la versión CSLU 2.6.0 o superior, donde la cuenta backdoor ha sido eliminada.
- Restringir el acceso a CSLU mediante políticas de firewall (ACLs) o segmentación de red.
- Auditar logs en busca de intentos de acceso sospechosos a la API de CSLU (puerto TCP/443).
Contexto de los ataques actuales
Actores de amenazas están aprovechando esta vulnerabilidad para:
- Desplegar ransomware en entornos empresariales.
- Establecer puntos de entrada persistentes (beaconing) mediante conexiones C2.
- Escalar privilegios lateralmente dentro de redes corporativas.
Organizaciones que utilizan CSLU en modo standalone (sin integración con Cisco Smart Software Manager) son las más expuestas. No se han reportado explotaciones en dispositivos que usan el modo satellite.
Conclusión
Esta vulnerabilidad subraya los riesgos asociados con cuentas backdoor no documentadas en herramientas críticas. Los equipos de seguridad deben priorizar la aplicación del parche y considerar evaluaciones proactivas de dispositivos Cisco que utilicen CSLU. Cisco ha publicado indicadores de compromiso (IOCs) y reglas de detección en su advisory oficial para facilitar la identificación de actividades maliciosas.
