સુરક્ષા સંશોધનકારો દાવો કરે છે કે બગ્સના વાઇલ્ડનમાં બે સિસ્કો સ્માર્ટ લાઇસન્સિંગ યુટિલિટી બગ્સનો દુરુપયોગ કરવામાં આવી રહ્યો છે તે એક હાર્ડકોડ એડમિન એકાઉન્ટબોથ બગ્સ 2024 માં નિશ્ચિત કરવામાં આવી હતી, તેથી વપરાશકર્તાઓએ હવે અપડેટ કરવું જોઈએ
સાયબર ક્રાઇમિનલ્સ સિસ્કો સ્માર્ટ લાઇસન્સિંગ યુટિલિટી (સીએસએલયુ) માં અજ્ unknown ાત અંત સુધી મળી રહેલી બે નબળાઈઓનો દુરૂપયોગ કરી રહ્યા છે.
સેન્સ ટેકનોલોજી ઇન્સ્ટિટ્યૂટના સંશોધનનાં ડીન જોહાનિસ અલરિચ, જાણીતા ધમકીવાળા કલાકારો હવે ઇન્ટરનેટ-ખુલ્લા સીએસએલયુના દાખલાઓને લક્ષ્ય બનાવવા માટે બે સુરક્ષા ભૂલોને સાંકળે છે.
“ઝડપી શોધ તે સમયે કોઈ સક્રિય શોષણ બતાવ્યું ન હતું, પરંતુ સિસ્કોએ તેની સલાહકાર રજૂ કર્યાના થોડા સમય પછી નિકોલસ સ્ટાર્ક દ્વારા એક બ્લોગમાં પ્રકાશિત કરવામાં આવી હતી. તેથી આપણે કેટલીક શોષણ પ્રવૃત્તિ જોઈ રહ્યા છીએ તે આશ્ચર્યજનક નથી.”
કોઈ કામ કરતા નથી
સીએસએલયુ એ એક સાધન છે જે સંસ્થાઓને સિસ્કો સ software ફ્ટવેર લાઇસન્સના ઉપયોગને વધુ લવચીક અને સ્વચાલિત રીતે સંચાલિત કરવામાં અને જાણ કરવામાં મદદ કરે છે.
તે ઉપકરણોને સિસ્કોની સ્માર્ટ લાઇસન્સિંગ સિસ્ટમથી કનેક્ટ કરવા માટે સક્ષમ કરે છે, સીધા અથવા premises ન-પ્રિમાસીસ સેટેલાઇટ સર્વર દ્વારા, સતત ઇન્ટરનેટ access ક્સેસની જરૂરિયાત વિના નોંધણી અને ટ્ર track ક કરવા માટે.
સપ્ટેમ્બર 2024 માં, સિસ્કોએ સીવીઇ -2024-20439, “વહીવટી ખાતા માટે બિનદસ્તાવેજીકૃત સ્થિર વપરાશકર્તા ઓળખપત્ર” ની જાહેરાત કરી, જે કોઈએ પાછળના ભાગમાં હાર્ડકોડ્ડ એડમિન ઓળખપત્રો છોડી દીધા તે કહેવાની એક ફેન્સી રીત છે.
નબળાઈએ ધમકીવાળા કલાકારોને API અથવા CSLU એપ્લિકેશન ઉપર, દૂરસ્થ રીતે નબળા સિસ્ટમોમાં લ log ગ ઇન કરવાની મંજૂરી આપી.
તે જ સમયે, સિસ્કોએ સીવીઇ -2024-20440 ને સંબોધિત કર્યું, એક માહિતી જાહેર નબળાઈ જે ધમકી આપનારા કલાકારોએ એપીઆઈ ઓળખપત્રો જેવી સંવેદનશીલ માહિતી સાથે લ log ગ ફાઇલોને to ક્સેસ કરવા માટે ઉપયોગમાં લીધા હતા.
આ ભૂલોનો દુરૂપયોગ કરવો એટલો સીધો, બલીપિંગ કમ્પ્યુટર નોંધો નથી, કારણ કે તે પીડિતાને પૃષ્ઠભૂમિમાં સીએસએલયુ એપ્લિકેશન ચલાવવાની જરૂર છે, જે તેની ડિફ default લ્ટ સેટિંગ નથી.
કોઈ પણ સંજોગોમાં, બંને નબળાઈઓ પેચ કરવામાં આવી હતી, અને ત્યાં કોઈ વર્કરાઉન્ડ નથી, તેથી તમારા દાખલાઓને સુરક્ષિત કરવાનો એકમાત્ર રસ્તો પેચ લાગુ કરવો છે.
ભૂલો માટેની સુરક્ષા સલાહકારમાં, સિસ્કોએ કહ્યું કે તે કોઈ જાહેર ઘોષણાઓ અથવા દૂષિત ઉપયોગની “જાગૃત નથી”, એટલે કે પૃષ્ઠોને હજી સુધી અપડેટ કરવામાં આવ્યા નથી.
ઝાપે સુધી બ્લીપિંગ કમ્યુટર
