Cisco BroadWorks Uygulama Dağıtım Platformu ve Cisco BroadWorks Xtending Hizmetler Platformundaki tek oturum açma (SSO) uygulama hatası, uzak, kimliği doğrulanmamış bir saldırganın, savunmasız bir sisteme erişmek için kimlik bilgilerini taklit etmesini mümkün kılabilir.
Bu “Kritik” önem derecesine sahip güvenlik açığının CVSS taban puanı 10,0’dır ve CVE-2023-20238 olarak izlenmektedir.
Cisco bu güvenlik açığını gidermek için yazılım yükseltmeleri yayınladı. Bu güvenlik açığını giderecek herhangi bir geçici çözüm yoktur.
Güvenlik Açığı Ayrıntıları
Cisco, SSO tokenlarını doğrulamak için kullanılan sürecin bu güvenlik açığına neden olduğunu belirtti. Sahte kimlik bilgileri kullanarak uygulamaya giriş yapan bir saldırgan, bu güvenlik açığından yararlanabilir.
“Bu güvenlik açığı, SSO belirteçlerini doğrulamak için kullanılan yöntemden kaynaklanıyor. Bir saldırgan, sahte kimlik bilgileriyle uygulamada kimlik doğrulaması yaparak bu güvenlik açığından yararlanabilir”, dedi Cisco Güvenlik Danışma Belgesinde.
Güvenlik açığı başarılı olursa, saldırgan sahte hesabı komutları yürütmek veya ücret sahtekarlığı yapmak için kullanabilir. Ayrıca saldırgan, hassas verileri okuyabilir, müşteri ayarlarını değiştirebilir veya söz konusu hesabın bir Yönetici hesabı olması durumunda diğer kullanıcıların ayarlarını değiştirebilir.
Cisco, “Bu hesap bir Yönetici hesabıysa, saldırganın gizli bilgileri görüntüleme, müşteri ayarlarını değiştirme veya diğer kullanıcıların ayarlarını değiştirme olanağına sahip olacağını” söyledi.
Saldırganın bu kusurdan yararlanmak için etkilenen Cisco BroadWorks sistemine bağlı meşru bir kullanıcı kimliğine ihtiyacı olacaktır.
Etkilenen Ürünler
Cisco BroadWorks’ün güvenlik açığı bulunan bir sürümünü çalıştırıyorsanız ve aşağıdaki uygulamalardan birini etkinleştirdiyseniz bu soruna karşı savunmasızsınız demektir.
- Kimlik Doğrulama Hizmeti
- BWCallCenter
- BWResepsiyonist
- CustomMediaFilesRetrieval
- ModeratörİstemciUygulaması
- GenelECLQuery
- Kamu Raporlaması
- UCAPI
- Xsi-Eylemleri
- Xsi-Etkinlikler
- Xsi-MMTel
- Xsi-VTR
Etkilenmeyen Ürünler
- BroadWorks Ansible Başucu Kitabı
- BroadWorks Veritabanı Sunucusu
- BroadWorks Veritabanı Sorun Giderme Sunucusu
- BroadWorks Yürütme Sunucusu
- BroadWorks Medya Sunucusu
- BroadWorks Mesajlaşma Sunucusu
- BroadWorks Ağ Veritabanı Sunucusu
- BroadWorks Ağ İşlev Yöneticisi
- BroadWorks Ağ Sunucusu
- BroadWorks Kurulum Öncesi Kontrolü
- BroadWorks Profil Sunucusu
- BroadWorks Hizmet Kontrol İşlevi Sunucusu
- BroadWorks Hizmet Lisansı Rapor Aracı
- BroadWorks Paylaşım Sunucusu
- BroadWorks Yazılım Yöneticisi
- BroadWorks Video Sunucusu
- BroadWorks WebRTC Sunucusu
Düzeltmeler Mevcut
Cisco, bu sorunu çözmek için ücretsiz yazılım yükseltmelerini kullanıma sunmuştur.
Müşterilerin mümkün olan en kısa sürede geçerli bir sabit yazılım sürümüne yükseltmeleri teşvik edilir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.