Cisco, saldırganların güvenlik açığı bulunan sistemlerde yetkilerini root yetkisine yükseltmelerine olanak tanıyan genel bir istismar koduyla bir komut enjeksiyonu güvenlik açığını giderdi.
CVE-2024-20469 olarak izlenen güvenlik açığı, kurumsal ortamlarda ağ cihazı yönetimi ve uç nokta erişim denetimi sağlayan kimlik tabanlı bir ağ erişim denetimi ve politika uygulama yazılımı olan Cisco’nun Kimlik Hizmetleri Motoru (ISE) çözümünde bulundu.
Bu işletim sistemi komut enjeksiyonu güvenlik açığı, kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanır. Yerel saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda kötü amaçlı olarak hazırlanmış CLI komutları göndererek bu zayıflıktan yararlanabilir.
Ancak Cisco’nun açıkladığı gibi, tehdit aktörleri bu açığı yalnızca yama uygulanmamış sistemlerde Yönetici ayrıcalıklarına sahiplerse başarıyla kullanabilirler.
Şirket, Çarşamba günü yayınladığı bir güvenlik duyurusunda, “Cisco Kimlik Hizmetleri Motoru’ndaki (ISE) belirli CLI komutlarındaki bir güvenlik açığı, kimliği doğrulanmış yerel bir saldırganın, altta yatan işletim sistemine komut enjeksiyon saldırıları gerçekleştirmesine ve ayrıcalıkları köke yükseltmesine olanak tanıyabilir” uyarısında bulundu.
“Cisco PSIRT, bu duyuruda açıklanan güvenlik açığı için kavram kanıtı istismar kodunun mevcut olduğunun farkındadır.”
| Cisco ISE Sürümü | İlk Sabit Sürüm |
|---|---|
| 3.1 ve öncesi | Etkilenmedi |
| 3.2 | 3.2P7 (Eylül 2024) |
| 3.3 | 3.3P4 (Ekim 2024) |
| 3.4 | Etkilenmedi |
Şirket şimdiye kadar saldırganların bu güvenlik açığını suistimal ettiğine dair bir kanıt bulamadı.
Cisco ayrıca bugün müşterilerini, saldırganların yönetici ayrıcalıklarına sahip olarak yama uygulanmamış sistemlere giriş yapmalarına olanak tanıyan Akıllı Lisanslama Yardımcı Programı Windows yazılımındaki bir arka kapı hesabını kaldırdığı konusunda uyardı.
Nisan ayında, yerel saldırganların ayrıcalıkları köke yükseltmesine de olanak tanıyan, herkese açık bir istismar koduna sahip Entegre Yönetim Denetleyicisi (IMC) güvenlik açığı (CVE-2024-20295) için güvenlik yamaları yayımladı.
Tehdit aktörlerinin kötü amaçlı e-postalar yoluyla kötü amaçlı kök kullanıcılar eklemesine ve Güvenlik E-posta Ağ Geçidi (SEG) cihazlarını kalıcı olarak çökertmesine olanak tanıyan bir diğer kritik açık (CVE-2024-20401) geçen ay düzeltildi.
Aynı hafta, saldırganların yöneticiler de dahil olmak üzere savunmasız Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) lisans sunucularındaki tüm kullanıcı parolalarını değiştirmesine olanak tanıyan maksimum öneme sahip bir güvenlik açığı konusunda uyarıldı.