Smart Licensing Utility

Die Schwachstelle betrifft Cisco Smart Licensing Utility (CSLU), eine Anwendung zur Verwaltung von Software-Lizenzen. Ursache ist ein fest im Programm hinterlegtes, nicht dokumentiertes Zugangsdatum für ein administratives Konto – also ein Benutzername samt Passwort, der bei der Auslieferung unveränderlich eingebaut ist und allen betroffenen Installationen gemeinsam ist. Da diese statischen Anmeldedaten bekannt werden können, lässt sich die Lücke aus der Ferne und ohne jede vorherige Anmeldung ausnutzen: Ein Angreifer meldet sich damit schlicht am System an. Gelingt dies, erhält er administrative Rechte über die Programmierschnittstelle (API) der CSLU-Anwendung und kann diese mit vollen Verwaltungsbefugnissen steuern. Betroffen sind Systeme, auf denen die Smart Licensing Utility läuft und deren Schnittstelle über das Netzwerk erreichbar ist – dort steht der Zugang unmittelbar offen, ohne dass weitere Hürden überwunden werden müssten.