Cisco’nun Prime Collaboration Deployment (PCD) yazılımında, siteler arası komut dosyası çalıştırma saldırılarını başlatmak için kullanılabilecek bir sıfır gün kusuru tespit edildi.
Cisco, “Cisco Prime Collaboration Deployment’ın web tabanlı yönetim arabirimindeki bir güvenlik açığı, kimliği doğrulanmamış, uzak bir saldırganın arabirim kullanıcısına karşı siteler arası komut dosyası çalıştırma saldırısı gerçekleştirmesine izin verebilir” diyor.
NATO Siber Güvenlik Merkezi’nden (NCSC) Pierre Vivegnis, Cisco PCD 14 ve önceki sürümlerin web tabanlı yönetim arayüzündeki CVE-2023-20060 kusurunu keşfetti.
Cisco, “Yayınlandığı tarihte bu güvenlik açığı Cisco Prime Collaboration Deployment’ı etkiledi” dedi.
Bu sunucu yönetim yazılımı, yöneticilerin kuruluşlarının envanter sunucularını taşımasına veya yükseltmesine olanak tanır.
Raporlar, kullanıcı girişinin yeterince doğrulanması gerektiğinden web tabanlı yönetim arayüzünün savunmasız olduğunu söylüyor.
Saldırgan, arabirim kullanıcısını özel olarak oluşturulmuş bir bağlantıyı tıklatmaya ikna ederek bu güvenlik açığından yararlanabilir.
İstismar başarılı olursa, saldırgan özel tarayıcı tabanlı verilere erişebilir veya güvenliği ihlal edilmiş arabirim bağlamında rasgele betik kodu çalıştırabilir.
“Başarılı bir istismar, saldırganın etkilenen arabirim bağlamında rasgele komut dosyası kodu yürütmesine veya hassas, tarayıcı tabanlı bilgilere erişmesine izin verebilir.”
Sabit Yayın
Cisco, bu kusuru gideren yazılım yamaları yayınlamayı planlıyor. Bu zayıflık için herhangi bir geçici çözüm yoktur.
Özellikle, Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), vahşi ortamda kötü niyetli kullanıma dair herhangi bir kanıt bulmadı. Kusuru hedefleyen, halka açık herhangi bir istismar kodundan habersizdir.
Ayrıca, Aralık 2023’ün başlarında halka duyurulan bir başka yüksek önem düzeyine sahip sıfır günlük IP telefonu CVE-2022-20968 için Cisco tarafından yama yapılması gerekiyor.
Güvenlik açığı ilk keşfedildiğinde, Cisco’nun PSIRT’si bir uyarı yayınladı ve “kavram kanıtı istismar kodunun mevcut olduğunun farkında” olduğunu ve “güvenlik açığının kamuya açık bir şekilde tartışıldığını” belirtti.
İşletme, güvenlik düzeltmelerinin Ocak 2023’te kullanıma sunulacağını belirtmesine rağmen, kusurun ilk keşfedilmesinden aylar sonra hala düzeltilmesi gerekiyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin