Cisco, akıllı lisanslama yardımcı programında CVE-2024-20439 ve CVE-2024-20440 olarak tanımlanan kritik güvenlik açıklarını açıklamıştır; bu, kimlik doğrulanmamış, uzak saldırganların idari erişim kazanmasına veya tehlikeye atılmış sistemlerden hassas bilgiler toplamasına izin verebilir.
Ortak güvenlik açığı puanlama sisteminde (CVSS) 9.8 şiddet puanı ile derecelendirilen bu kusurlar, etkilenen yazılımı kullanarak kuruluşlar için önemli güvenlik riskleri oluşturmaktadır.
CVE-2024-20439: Statik kimlik bilgisi güvenlik açığı
Cisco Akıllı Lisanslama Yardımcı Programındaki bir kusur, yetkisiz saldırganların sert kodlanmış statik yönetimsel kimlik bilgilerini kullanarak sistemlere uzaktan oturum açmalarına olanak tanır.
Sorun, belgesiz bir idari hesabın varlığından kaynaklanmaktadır. Başarılı sömürü, saldırganlara başvurunun API’sı üzerinden idari ayrıcalıklara erişim sağlar ve sistemleri daha fazla uzlaşmaya karşı savunmasız bırakır.
- Hata Kimliği: Cscwi41731
- CWE: CWE-532
- Darbe: Etkilenen sistemlere yetkisiz idari erişim.
- CVSS taban puanı: 9.8
CVE-2024-20440: Bilgi Açıklama Güvenlik Açığı
Ayrı bir güvenlik açığı, hata ayıklama günlük dosyalarında aşırı doygunluktan kaynaklanır.
Saldırganlar, etkilenen sistemlere hazırlanmış HTTP istekleri göndererek bu sorunu kullanabilir ve bu da kimlik bilgileri ve diğer kritik bilgiler içeren hassas günlük dosyalarına erişmelerini sağlar.
Açıklanan veriler, saldırganların sistemi daha da tehlikeye atmasını sağlayabilir.
- Hata Kimliği: CSCWI47950
- CWE: CWE-912
- Darbe: İdari kimlik bilgileri gibi hassas bilgilerin maruz kalması.
- CVSS taban puanı: 9.8
Etkilenen ürünler
Güvenlik açıkları, aktif olarak çalışırken Cisco Akıllı Lisanslama Yardımcı Programı yazılımını etkiler. Cisco, aşağıdaki ürünlerin savunmasız olmadığını doğruladı:
- Şirket içi akıllı yazılım yöneticisi
- Akıllı Yazılım Yöneticisi Uydu
| Cisco Smart Lisans Yardımcı Programı | Durum | İlk Sabit Sürüm |
| 2.0.0 | Hassas | Sabit bir sürüme geçiş yapın |
| 2.1.0 | Hassas | Sabit bir sürüme geçiş yapın |
| 2.2.0 | Hassas | Sabit bir sürüme geçiş yapın |
| 2.3.0 | Savunmasız değil | Zaten sabit |
Azaltma adımları
Cisco, bu güvenlik açıklarını ele almak için ücretsiz güncellemeler yayınladı. Kullanıcıların derhal vulnerning olmayan bir yazılım sürümüne geçmeleri istenir.
Cisco, Cisco Destek ve İndirme sayfası ve diğer yetkili kanallar aracılığıyla yazılım yükseltmeleri almak için ayrıntılı rehberlik sağlamıştır.
Bu güvenlik açıkları için hiçbir geçici çözüm mevcut değildir. Kullanıcılar sistemlerini güvence altına almak için yükseltmelidir.
Cisco, Mart 2025 itibariyle bu güvenlik açıklarının sömürülmesine ilişkin raporları doğruladı. Kuruluşlara, uzlaşmayı önlemek için zamanında harekete geçmeleri ve hafifletici yazılım güncellemelerini uygulamaları şiddetle tavsiye edilmektedir.
Cisco Akıllı Lisanslama Yardımcı Programının savunmasız sürümlerini kullanan kuruluşlar, yetkisiz erişim ve bilgi sızıntılarını önlemek için hemen hareket etmelidir.
Cisco bu güvenlik açıklarını izlemeye devam ediyor ve kullanıcıları en son yamalar ve danışmanlarla güncel kalmaya çağırıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!