Cisco 社は、脆弱性のある Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) ライセンスサーバーにおいて、攻撃者が管理者を含む任意のユーザーのパスワードを変更できる最大重大度の脆弱性を修正しました。
この欠陥は、Cisco Smart Software Manager Satellite (SSM Satellite) として知られるリリース 7.0 より前の SSM On-Prem インストールにも影響します。
SSM On-Premは、Cisco Smart Licensingのコンポーネントとして、サービスプロバイダやCiscoパートナーによる顧客アカウントと製品ライセンスの管理を支援します。
CVE-2024-20419 として追跡されているこの重大なセキュリティ上の欠陥は、SSM On-Prem の認証システムにおける未検証のパスワード変更の弱点が原因です。悪用に成功すると、認証されていないリモートの攻撃者は、元の認証情報を知らなくても新しいユーザーパスワードを設定できるようになります。
「この脆弱性は、パスワード変更プロセスの不適切な実装によるものです。攻撃者は、影響を受けるデバイスに細工したHTTPリクエストを送信することで、この脆弱性を悪用することができます」とシスコは説明している。
「悪用に成功すると、攻撃者は侵害されたユーザーの権限でウェブUIやAPIにアクセスできるようになる。
| Cisco SSM On-Prem リリース | 最初の修正リリース |
|---|---|
| 8-202206 およびそれ以前 | 8-202212 |
| 9 | 脆弱性なし |
同社によると、このセキュリティ欠陥の影響を受けるシステムには回避策がなく、すべての管理者は、自分の環境内の脆弱なサーバーを保護するために、固定リリースにアップグレードする必要があるとのことだ。
シスコの製品セキュリティインシデント対応チーム(PSIRT)は、この脆弱性を標的とした公開の概念実証や悪用の試みの証拠をまだ発見していない。
同社は今月初め、脆弱性のある MDS および Nexus スイッチにこれまで知られていなかったマルウェアを root としてインストールするために悪用されていたNX-OS のゼロデイ(CVE-2024-20399)にパッチを適用した。
4月には、シスコは、国家に支援されたハッキング・グループ(UAT4356およびSTORM-1849として追跡されている)が、他の2つのゼロデイ・バグ(CVE-2024-20353およびCVE-2024-20359)を悪用していたことも警告していた。
2023年11月以降、攻撃者はArcaneDoorと名付けられたキャンペーンで、Adaptive Security Appliance(ASA)とFirepower Threat Defense(FTD)ファイアウォールに対してこの2つのバグを使用し、世界中の政府機関のネットワークを標的にしています。
The post Cisco SSM On-Premのバグにより、ハッカーが任意のユーザーのパスワードを変更可能に first appeared on PRSOL:CC.