Cisco, yöneticiler de dahil olmak üzere, saldırganların savunmasız Cisco Smart Yazılım Yöneticisi (şirket içi Cisco SSM) lisans sunucularında herhangi bir kullanıcının şifresini değiştirmesine izin veren maksimum bir şiddet güvenlik açığı düzeltildi.
Kusur ayrıca Cisco Smart Yazılım Yöneticisi Uydu (SSM uydu) olarak bilinen 7.0 sürümünden daha önce SSM şirket içi kurulumları da etkiler.
Cisco akıllı lisans bileşeni olarak, SSM şirket içi servis sağlayıcılara ve Cisco ortaklarına müşteri hesaplarını ve ürün lisanslarını yönetme konusunda yardımcı olur.
CVE-2024-20419 olarak izlenen bu kritik güvenlik kusuru, SSM şirket içi kimlik doğrulama sisteminde doğrulanmamış bir şifre değişikliği zayıflığından kaynaklanmaktadır. Başarılı sömürü, kimlik doğrulanmamış, uzaktan saldırganların orijinal kimlik bilgilerini bilmeden yeni kullanıcı şifreleri ayarlamalarını sağlar.
Cisco, "Bu güvenlik açığı, şifre değiştirme sürecinin yanlış uygulanmasından kaynaklanıyor. Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığını kullanabilir."
"Başarılı bir istismar, bir saldırganın güvenliği ihlal edilen kullanıcının ayrıcalıklarıyla Web kullanıcı arayüzüne veya API'ya erişmesine izin verebilir."
Şirket, bu güvenlik kusurundan etkilenen sistemler için hiçbir geçici çözüm bulunmadığını ve tüm yöneticilerin çevrelerindeki savunmasız sunucuları güvence altına almak için sabit bir sürüme yükseltmesi gerektiğini söylüyor.
Cisco'nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu kırılganlığı hedefleyen kavram istismarlarının veya sömürü girişimlerinin kamu kanıtı olduğuna dair henüz kanıt bulamamıştır.
Bu ayın başlarında, şirket, Nisan ayından bu yana daha önce bilinmeyen kötü amaçlı yazılımları savunmasız MDS ve Nexus anahtarlarına kök olarak kurmak için kullanılmış bir NX-OS sıfır gününü (CVE-2024-20399) yamaladı.
Nisan ayında Cisco, devlet destekli bir hack grubunun (UAT4356 ve Storm-1849 olarak izlendiği) diğer iki sıfır gün hatasını (CVE-2024-20353 ve CVE-2024-20359) sömürdüğü konusunda uyardı.
Kasım 2023'ten bu yana, saldırganlar Arcanedoor adlı bir kampanyada, dünya çapında hükümet ağlarını hedefleyen bir kampanyada uyarlanabilir güvenlik cihazı (ASA) ve ateş gücü tehdidi savunma (FTD) güvenlik duvarlarına karşı iki hatayı kullandılar.
SolarWinds Erişim Hakları Denetim Yazılımında 8 Kritik Hatayı Düzeltiyor
Kritik Cisco Bug, bilgisayar korsanlarının SEG cihazlarına kök kullanıcıları eklemesine izin verir
Cisa, kritik Geoserver Geotools RCE Kusurunun saldırılarda kullanıldığı konusunda uyarıyor
Bilgisayar korsanları, piyasaya sürüldükten 22 dakika sonra saldırılarda POC istismarlarını kullanır
Kritik Exim Bug, 1,5 milyon posta sunucusunda güvenlik filtrelerini atlar
Kaynak: Bleeping Computer