【安全资讯】关键Cisco SLU漏洞CVE-2024-20439和CVE-2024-20440威胁远程管理控制

概要：

Cisco发布了一份安全公告，警告组织其Smart Licensing Utility（SLU）中存在多个漏洞，这些漏洞可能允许远程攻击者访问敏感信息或获得管理控制权。两个关键漏洞CVE-2024-20439和CVE-2024-20440的CVSS评分均为9.8，属于严重级别。

主要内容：

CVE-2024-20439是一个静态凭证漏洞，允许未经身份验证的远程攻击者利用未公开的静态管理凭证，获得对易受攻击系统的未经授权访问。成功利用后，攻击者可能获得API的管理权限，从而执行恶意操作并危及敏感数据。

CVE-2024-20440是一个信息泄露漏洞，由于调试日志文件中的过度记录行为引起。远程攻击者可以通过发送精心构造的HTTP请求来利用此漏洞，提取敏感信息，包括可能用于API访问的凭证。

Cisco已发布软件更新以修复这些关键漏洞。使用Cisco Smart Licensing Utility的组织被强烈建议优先安装这些更新，以保护其系统免受潜在的利用。由于没有替代解决方案，及时打补丁以确保足够的安全性是必要的。

目前，尚无关于这些漏洞被恶意利用的公开声明或报告。然而，这些漏洞的严重性及其相对较低的利用门槛，使其成为网络犯罪分子的诱人目标。