Cisco, yakın zamanda Akıllı Lisanslama Yardımcı Programı’nda (CSLU) kimliği doğrulanmamış uzak saldırganların etkilenen sistemlere yönetimsel erişim elde etmesine veya hassas bilgileri toplamasına olanak tanıyabilecek birden fazla kritik güvenlik açığını açıkladı.
CVE-2024-20439 ve CVE-2024-20440 olarak tanımlanan bu güvenlik açıkları, yazılımın çeşitli sürümlerinde mevcut olup CVSS ölçeğinde 9,8’lik yüksek bir önem puanı ile derecelendirilmiştir; bu da sistemlerin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde önemli bir etki potansiyeli olduğunu göstermektedir.
İlk güvenlik açığı, CVE-2024-20439, bir yönetici hesabı için belgelenmemiş, statik bir kullanıcı kimlik bilgisinden kaynaklanmaktadır. Bu kusur, saldırganların bu statik kimlik bilgilerini kullanarak etkilenen sistemlere yönetici ayrıcalıklarıyla giriş yapmalarına olanak tanır.
İkinci güvenlik açığı olan CVE-2024-20440, API kimlik bilgileri de dahil olmak üzere hassas verileri elde etmek için hazırlanmış HTTP istekleri gönderilerek istismar edilebilen hata ayıklama günlük dosyasında aşırı ayrıntı içeriyor.
Cisco, bu güvenlik açıklarının, yazılım yapılandırmalarından bağımsız olarak Cisco Akıllı Lisanslama Yardımcı Programı’nın güvenlik açığı bulunan sürümlerini çalıştıran sistemleri etkilediğini doğruladı.
Ancak, güvenlik açıkları yalnızca yardımcı program etkin bir şekilde çalışırken, yani kullanıcı başlatması gerektiğinde kullanılabilir. Bu sorunlar Cisco’nun Smart Software Manager On-Prem ve Smart Software Manager Satellite’ını etkilemez.
Cisco, buna yanıt olarak bu güvenlik açıklarını gidermek için yazılım güncellemeleri yayınladı ve tüm kullanıcılara mümkün olan en kısa sürede düzeltilmiş sürümlere yükseltme yapmalarını öneriyor. Etkilenen sürümler arasında 2.0.0, 2.1.0 ve 2.2.0 yer alıyor ve 2.3.0 sürümünün güvenlik açığı olmadığı doğrulandı. Şu anda kullanılabilir bir geçici çözüm bulunmuyor ve bu da güncellemeleri sistemleri güvence altına almak için önemli hale getiriyor.
| Cisco Akıllı Lisans Yardımcı Programı Sürümü | İlk Sabit Sürüm |
|---|---|
| 2.0.0 | Sabit bir sürüme geçin. |
| 2.1.0 | Sabit bir sürüme geçin. |
| 2.2.0 | Sabit bir sürüme geçin. |
| 2.3.0 | Savunmasız değil. |
Cisco’nun güvenlik ekibi güvenlik açıklarını dahili olarak keşfetti ve bunların vahşi ortamda istismar edildiğine dair hiçbir rapor yok. Cisco, düzenli yazılım güncellemelerinin önemini vurgular ve kullanıcıları güvenlik açıkları ve düzeltmeler hakkında en son bilgiler için güvenlik tavsiyelerine başvurmaya teşvik eder.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), şu anda Cisco Akıllı Lisanslama Yardımcı Programı’ndaki güvenlik açıklarının kötü amaçlı kullanıldığına dair bilinen bir kamu duyurusu veya kanıt bulunmadığını belirtti
Cisco Akıllı Lisanslama Yardımcı Programını kullanan kuruluşlar, olası istismarlara karşı korunmak için mevcut yazılım sürümlerini gözden geçirmeli ve gerekli güncellemeleri uygulamalıdır.