Уязвимость Cisco SSM позволяет хакерам изменять пароли любых пользователей

Cisco, крупнейший поставщик сетевого оборудования в мире, в среду раскрыла критическую уязвимость в своих серверах лицензий Cisco Smart Software Manager On-Prem (SSM On-Prem).

Уязвимость позволяет неаутентифицированному удаленному злоумышленнику изменять пароль любого пользователя, включая административных пользователей.

Критическая уязвимость, отслеживаемая как CVE-2024-20419 (оценка CVSS: 10), возникает из-за неправильной реализации процесса изменения пароля в системе аутентификации Cisco SSM On-Prem.

Злоумышленник может использовать эту уязвимость, отправляя специально подготовленные HTTP-запросы на затронутое устройство.

Успешная эксплуатация этого недостатка позволяет злоумышленнику получить доступ к веб-интерфейсу или API с привилегиями скомпрометированного пользователя, что потенциально может привести к несанкционированному административному контролю над устройством.

Эта уязвимость затрагивает Cisco SSM On-Prem и Cisco Smart Software Manager Satellite (SSM Satellite). Для версий, выпущенных до версии 7.0, этот продукт был известен как Cisco SSM Satellite. Начиная с версии 7.0, этот продукт называется Cisco SSM On-Prem.

Cisco сообщает, что обходных путей для устранения этой уязвимости не существует. Чтобы снизить риск, всем администраторам рекомендуется обновиться до соответствующей исправленной версии программного обеспечения, как указано в таблице ниже.

| | Версия Cisco SSM On-Prem | | Первая исправленная версия | |

| | 8-202206 и ранее | | 8-202212 | |

| | 9 | | Не уязвима | |

Команда реагирования на инциденты безопасности продуктов Cisco (PSIRT) не знает о каких-либо публичных объявлениях или злонамеренном использовании уязвимости, так как пока не обнаружила никаких доказательств того, что недостаток активно эксплуатируется.

Cisco также подтвердила, что эта уязвимость не затрагивает Cisco Smart Licensing Utility.

Клиенты с контрактами на обслуживание, которые позволяют им получать регулярные обновления программного обеспечения, должны получать исправления безопасности через свои обычные каналы обновления.

Тем, у кого нет контрактов на обслуживание, рекомендуется обратиться в Центр технической поддержки (TAC) за помощью в получении необходимых обновлений.