Cisco, saldırganların Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) lisans sunucularındaki yöneticiler de dahil olmak üzere herhangi bir kullanıcının parolasını değiştirmesine olanak tanıyan maksimum önem derecesine sahip bir güvenlik açığını giderdi.
Bu kusur, Cisco Smart Software Manager Satellite (SSM Satellite) olarak bilinen 7.0 sürümünden önceki SSM On-Prem kurulumlarını da etkiliyor.
Cisco Akıllı Lisanslama bileşeni olan SSM On-Prem, servis sağlayıcıların ve Cisco iş ortaklarının müşteri hesaplarını ve ürün lisanslarını yönetmelerine yardımcı olur.
CVE-2024-20419 olarak izlenen bu kritik güvenlik açığı, SSM On-Prem’in kimlik doğrulama sistemindeki doğrulanmamış bir parola değişikliği zayıflığından kaynaklanmaktadır. Başarılı bir istismar, kimliği doğrulanmamış, uzak saldırganların orijinal kimlik bilgilerini bilmeden yeni kullanıcı parolaları belirlemesini sağlar.
Cisco, “Bu güvenlik açığı, parola değiştirme sürecinin uygunsuz uygulanmasından kaynaklanmaktadır. Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir” açıklamasında bulundu.
“Başarılı bir istismar, saldırganın tehlikeye atılmış kullanıcının ayrıcalıklarıyla web kullanıcı arayüzüne veya API’ye erişmesine olanak tanıyabilir.”
| Cisco SSM Yerinde Sürüm | İlk Sabit Sürüm |
|---|---|
| 8-202206 ve öncesi | 8-202212 |
| 9 | Savunmasız değil |
Şirket, bu güvenlik açığından etkilenen sistemler için herhangi bir geçici çözümün bulunmadığını ve tüm yöneticilerin, ortamlarındaki güvenlik açığı bulunan sunucuları güvence altına almak için sabit bir sürüme yükseltme yapmaları gerektiğini söylüyor.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) henüz bu güvenlik açığını hedef alan kamuya açık kavram kanıtı istismarlarına veya istismar girişimlerine dair bir kanıt bulamadı.
Şirket bu ayın başlarında, Nisan ayından bu yana güvenlik açığı bulunan MDS ve Nexus anahtarlarına kök olarak daha önce bilinmeyen kötü amaçlı yazılım yüklemek için kullanılan bir NX-OS sıfır-gün (CVE-2024-20399) yama yayınladı.
Cisco, nisan ayında ayrıca devlet destekli bir bilgisayar korsanlığı grubunun (UAT4356 ve STORM-1849 olarak izleniyor) iki sıfır gün açığını (CVE-2024-20353 ve CVE-2024-20359) istismar ettiği konusunda uyarıda bulunmuştu.
Kasım 2023’ten bu yana saldırganlar, ArcaneDoor adlı bir kampanyada dünya çapındaki hükümet ağlarını hedef alarak iki hatayı Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarına karşı kullandılar.
