Cisco, saldırganların yama uygulanmamış Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) lisans sunucularındaki tüm kullanıcı parolalarını değiştirmesine olanak tanıyan maksimum öneme sahip bir güvenlik açığı için artık istismar kodunun mevcut olduğu konusunda uyarıyor.
Cisco Akıllı Lisanslama bileşeni olan Cisco SSM On-Prem, yerel ağdaki özel bir panoyu kullanarak bir kuruluşun ortamındaki hesapları ve ürün lisanslarını yönetmeye yardımcı olur.
Şirket Çarşamba günü yaptığı açıklamada, “Cisco PSIRT, bu duyuruda açıklanan güvenlik açığı için kavram kanıtı istismar kodunun mevcut olduğunun farkındadır” uyarısında bulundu.
Ancak Cisco, saldırganların bu güvenlik açığını (CVE-2024-20419 olarak izleniyor) suistimal ettiğine dair henüz bir kanıt bulamadı.
CVE-2024-20419, SSM On-Prem’in kimlik doğrulama sistemindeki doğrulanmamış bir parola değişikliği zayıflığından kaynaklanır. Bu zayıflık, kimliği doğrulanmamış saldırganların orijinal kimlik bilgilerini bilmeden herhangi bir kullanıcı parolasını (yönetici hesapları için kullanılanlar dahil) uzaktan değiştirmesine olanak tanır.
Cisco, Temmuz ayında bu açığı gidermek için güvenlik güncellemeleri yayınladığında, “Bu güvenlik açığı, parola değiştirme sürecinin uygunsuz uygulanmasından kaynaklanmaktadır. Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir,” açıklamasında bulundu.
“Başarılı bir istismar, saldırganın tehlikeye atılmış kullanıcının ayrıcalıklarıyla web kullanıcı arayüzüne veya API’ye erişmesine olanak tanıyabilir.”
Etkilenen sistemler için herhangi bir geçici çözüm bulunmamaktadır ve tüm yöneticilerin, güvenlik açığı bulunan SSM On-Prem sunucularını güvence altına almak için sabit bir sürüme yükseltme yapmaları gerekmektedir.
Cisco geçen ay, saldırganların kök ayrıcalıklarına sahip yeni kullanıcılar eklemesine ve kötü amaçlı ekler içeren e-postalar kullanarak Güvenlik E-posta Ağ Geçidi (SEG) cihazlarını kalıcı olarak çökertmesine olanak tanıyan kritik bir güvenlik açığını düzeltti ve Nisan ayından beri daha önce bilinmeyen kötü amaçlı yazılımları güvenlik açığı bulunan MDS ve Nexus anahtarlarına kök olarak yüklemek için yaygın olarak kullanılan bir NX-OS sıfır gün (CVE-2024-20399) açığını düzeltti.
CISA, son zamanlarda sistem yapılandırma dosyaları gibi hassas verileri çalmak için yapılan saldırılarda kötüye kullanıldığını gördükten sonra yöneticileri eski Cisco Smart Install özelliğini devre dışı bırakmaları konusunda uyardı.