Cisco, Akıllı Lisanslama Yardımcı Programını etkileyen ve kimliği doğrulanmamış uzak saldırganların ayrıcalıklarını yükseltmesine veya hassas bilgilere erişmesine olanak tanıyabilecek iki kritik güvenlik açığı için güvenlik güncellemeleri yayınladı.
İki güvenlik açığının kısa açıklaması aşağıdadır –
- CVE-2024-20439 (CVSS puanı: 9,8) – Bir saldırganın etkilenen bir sisteme giriş yapmak için kullanabileceği bir yönetici hesabına ait belgelenmemiş statik kullanıcı kimlik bilgilerinin varlığı
- CVE-2024-20440 (CVSS puanı: 9,8) – Bir saldırganın, hazırlanmış bir HTTP isteği aracılığıyla bu tür dosyalara erişmek ve API’ye erişmek için kullanılabilecek kimlik bilgilerini elde etmek amacıyla kullanabileceği aşırı ayrıntılı bir hata ayıklama günlük dosyasından kaynaklanan bir güvenlik açığı
Bu eksikliklerin başarılı olması için birbirlerine bağlı olmaları gerekmese de Cisco, tavsiye yazısında “Cisco Akıllı Lisanslama Yardımcı Programı bir kullanıcı tarafından başlatılmadığı ve aktif olarak çalışmadığı sürece bunların istismar edilemeyeceğini” belirtiyor.
İç güvenlik testleri sırasında keşfedilen açıklar, Smart Software Manager On-Prem ve Smart Software Manager Satellite ürünlerini etkilemiyor.
Cisco Smart License Utility 2.0.0, 2.1.0 ve 2.2.0 sürümlerini kullananların sabit bir sürüme güncelleme yapmaları önerilir. Yazılımın 2.3.0 sürümü bu hataya karşı hassas değildir.
Cisco ayrıca Kimlik Hizmetleri Motoru’ndaki (ISE) bir komut enjeksiyonu güvenlik açığını gidermek için güncellemeler yayınladı. Bu güvenlik açığı, kimliği doğrulanmış yerel bir saldırganın, altta yatan işletim sisteminde keyfi komutlar çalıştırmasına ve ayrıcalıkları köke yükseltmesine izin verebilir.
CVE-2024-20469 (CVSS puanı: 6.0) olarak izlenen bu kusur, saldırganın etkilenen cihazda geçerli yönetici ayrıcalıklarına sahip olmasını gerektiriyor.
Şirket, “Bu güvenlik açığı, kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanmaktadır” dedi. “Bir saldırgan, hazırlanmış bir CLI komutu göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın ayrıcalıkları köke yükseltmesine olanak tanıyabilir.”
Aşağıdaki sürümleri etkiler –
- Cisco ISE 3.2 (3.2P7 – Eylül 2024)
- Cisco ISE 3.3 (3.3P4 – Ekim 2024)
Şirket ayrıca, kötü amaçlı bir sömürüye dair herhangi bir bilgi sahibi olmasa da, bir kavram kanıtı (PoC) istismar kodunun mevcut olduğu konusunda uyarıda bulundu.