Cisco telah memperbaiki kerentanan tingkat keparahan maksimum yang memungkinkan penyerang mengubah kata sandi pengguna mana pun di server lisensi Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) yang rentan, termasuk administrator.
Kelemahan ini juga memengaruhi instalasi SSM On-Prem sebelum Rilis 7.0, yang dikenal sebagai Cisco Smart Software Manager Satellite (SSM Satellite).
Sebagai komponen Cisco Smart Licensing, SSM On-Prem membantu penyedia layanan dan mitra Cisco dalam mengelola akun pelanggan dan lisensi produk.
Dilacak sebagai CVE-2024-20419, kelemahan keamanan kritis ini disebabkan oleh kelemahan perubahan kata sandi yang tidak terverifikasi dalam sistem autentikasi SSM On-Prem. Eksploitasi yang berhasil memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menetapkan kata sandi pengguna baru tanpa mengetahui kredensial asli.
“Kerentanan ini disebabkan oleh penerapan proses perubahan kata sandi yang tidak tepat. Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat yang terpengaruh,” kata Cisco dijelaskan.
“Eksploitasi yang berhasil dapat memungkinkan penyerang mengakses UI web atau API dengan hak istimewa pengguna yang disusupi.”
| Rilis Cisco SSM On-Prem | Rilis Tetap Pertama |
|---|---|
| 8-202206 dan sebelumnya | 8-202212 |
| 9 | Tidak rentan |
Perusahaan mengatakan bahwa tidak ada solusi yang tersedia untuk sistem yang terkena dampak kelemahan keamanan ini, dan semua admin harus memperbarui ke rilis tetap untuk mengamankan server yang rentan di lingkungan mereka.
Tim Respons Insiden Keamanan Produk (PSIRT) Cisco belum menemukan bukti eksploitasi bukti konsep publik atau upaya eksploitasi yang menargetkan kerentanan ini.
Awal bulan ini, perusahaan menambal zero-day NX-OS (CVE-2024-20399) yang telah dieksploitasi untuk menginstal malware yang sebelumnya tidak dikenal sebagai root pada MDS dan switch Nexus yang rentan sejak April.
Pada bulan April, Cisco juga memperingatkan bahwa kelompok peretas yang didukung negara (dilacak sebagai UAT4356 dan STORM-1849) telah mengeksploitasi dua bug zero-day lainnya (CVE-2024-20353 dan CVE-2024-20359).
Sejak November 2023, penyerang telah menggunakan kedua bug tersebut terhadap firewall Adaptive Security Appliance (ASA) dan Firepower Threat Defense (FTD) dalam kampanye yang dijuluki ArcaneDooryang menargetkan jaringan pemerintah di seluruh dunia.
