:

Szerző: Dömös Zsuzsanna

2024. július 18. 12:00

Kritikus sérülékenységet jelentett a Cisco

A Cisco SSM On-Prem terméket érintő, 10.0-ás súlyosságú biztonsági rést sikerült felfednie a cégnek, melyet eddig úgy tűnik, aktívan még nem használtak ki rosszakarók.

A Cisco szerdán nyilvánosságra hozott egy közelmúltban felfedezett biztonsági rést, amely lehetővé tehette rosszindulatú felek számára, hogy hitelesítés nélkül módosíthassanak jelszavakat a távolból, akár a rendszergazdákhoz tartozó fiókokat is a Cisco Smart Software Manager On-Prem terméket futtató eszközökön. Az SSM On-Prem abban segíti a Cisco partnereket és szolgáltatókat, hogy egyszerűbben kezelhessék az ügyfélfiókokat és terméklicenceket.

A CVE-2024-20419 sérülékenység CVSS pontszáma a maximális 10, tehát kritikus, és az autentikációs rendszer nem kellően biztonságos jelszómódosítási folyamatán alapul – írja a Cisco. A támadók HTTP kérések küldésével használhatják ki a hibát az érintett eszközökön, majd a kompromittált fiók/felhasználó jogosultságaival férhetnek hozzá a webes felhasználói felülethez vagy API-hoz.

ciscopass

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Egyelőre még a szakértők sem tudták meghatározni, hogy pontosan milyen visszaélésekre ad lehetőséget az elkövetők számára az adminisztratív panelhez való hozzáférés. Elméletben egy lehetséges válasz, hogy a webes kezelőfelületen és API-n keresztül a támadó más, ugyanahhoz a hálózathoz kapcsolódó Cisco-eszközökhöz kapcsolódjon, ami egyszerűbbé teheti az adatok lopását, fájlok titkosítását.

A cég a közleménnyel együtt egy szotfveres javítást is kiadott, és hozzátette, hogy fenyegetési csoportja egyelőre nem talált arra utaló bizonyítékot, hogy a sérülékenységet aktívan kihasználták volna korábban kiberbűnözők. A hiba a Cisco SSM On-Prem 8-202206 és korábbi verzióit érinti, és a 8-202212-es verzióban már helyet kapott a javítás.

a címlapról