Cisco, Smart Software Manager On-Prem’i (Cisco SSM On-Prem) etkileyen ve uzaktan, kimliği doğrulanmamış bir saldırganın, yönetici kullanıcılara ait olanlar da dahil olmak üzere herhangi bir kullanıcının parolasını değiştirmesine olanak sağlayabilecek maksimum düzeydeki bir güvenlik açığını gidermek için yamalar yayınladı.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-20419CVSS puanı 10.0’dır.
Şirket bir danışma yazısında “Bu güvenlik açığı, parola değiştirme sürecinin uygunsuz bir şekilde uygulanmasından kaynaklanmaktadır” dedi. “Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, bir saldırganın tehlikeye atılmış kullanıcının ayrıcalıklarıyla web kullanıcı arayüzüne veya API’ye erişmesine olanak tanıyabilir.”
Eksiklik Cisco SSM On-Prem 8-202206 ve önceki sürümleri etkiler. 8-202212 sürümünde düzeltildi. 9 sürümünün bu kusura duyarlı olmadığını belirtmekte fayda var.
Cisco, sorunu çözen bir geçici çözüm olmadığını ve vahşi doğada herhangi bir kötü amaçlı sömürüden haberdar olmadığını söyledi. Güvenlik araştırmacısı Mohammed Adel, hatayı keşfedip bildiren kişi olarak kabul edildi.
CISA, KEV Kataloğuna 3 Kusur Ekliyor
Açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) aktif istismara dair kanıtlara dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı eklemesinin ardından geldi –
- CVE-2024-34102 (CVSS puanı: 9.8) – Adobe Commerce ve Magento Açık Kaynak XML Harici Varlık Referansı (XXE) Güvenlik Açığının Uygunsuz Kısıtlanması
- CVE-2024-28995 (CVSS puanı: 8.6) – SolarWinds Serv-U Yol Geçişi Güvenlik Açığı
- CVE-2022-22948 (CVSS puanı: 6.5) – VMware vCenter Server Yanlış Varsayılan Dosya İzinleri Güvenlik Açığı
CosmicSting olarak da adlandırılan CVE-2024-34102, iç içe serileştirmenin uygunsuz işlenmesinden kaynaklanan ciddi bir güvenlik açığıdır ve saldırganların uzaktan kod yürütmesine olanak tanır. Bu açığın kanıtı (PoC) istismarı, Assetnote tarafından geçen ayın sonlarında yayımlandı.
GreyNoise, ana makinedeki hassas dosyalara erişime olanak sağlayabilen dizinler arası bir güvenlik açığı olan CVE-2024-28995’in istismarına ilişkin ayrıntılı raporlar yayınladı ve /etc/passwd gibi dosyaların okunmaya çalışıldığını belirtti.
Öte yandan CVE-2022-22948’in kötüye kullanımı, Google’a ait Mandiant tarafından UNC3886 olarak bilinen ve Fortinet, Ivanti ve VMware cihazlarındaki sıfır gün açıklarından yararlanma geçmişi olan Çin bağlantılı bir siber casusluk grubuna atfedildi.
Federal kurumların, ağlarını aktif tehditlere karşı güvence altına almak için 7 Ağustos 2024 tarihine kadar satıcı talimatları doğrultusunda önlemler alması gerekiyor.