Cisco je objavio zakrpe za rješavanje sigurnosne greške maksimalne ozbiljnosti koja utječe na Smart Software Manager On-Prem (Cisco SSM On-Prem) i koja bi mogla omogućiti udaljenom napadaču bez autentifikacije da promijeni lozinku svih korisnika, uključujući i one koji pripadaju administrativnim korisnicima.
Ranjivost, praćena kao CVE-2024-20419, nosi CVSS rezultat 10,0.
“Ova ranjivost je posljedica nepravilne implementacije procesa promjene lozinke”, rekla je kompanija u savjetu. “Napadač bi mogao iskoristiti ovu ranjivost slanjem kreiranih HTTP zahtjeva na pogođeni uređaj. Uspješno iskorištavanje može omogućiti napadaču da pristupi web korisničkom sučelju ili API-ju s privilegijama kompromitovanog korisnika.”
Nedostatak se odnosi na Cisco SSM On-Prem verzije 8-202206 i starije. To je popravljeno u verziji 8-202212. Vrijedi napomenuti da verzija 9 nije osjetljiva na nedostatak.
Cisco je rekao da ne postoje zaobilazna rješenja koja bi riješila problem i da nije svjestan bilo kakve zlonamjerne eksploatacije u prirodi. Sigurnosni istraživač Mohammed Adel zaslužan je za otkrivanje i prijavu greške.
Proizvođač mrežne opreme je takođe popravio još jednu kritičnu ranjivost prilikom pisanja datoteka u Secure Email Gateway (CVE-2024-20401, CVSS rezultat: 9,8) koja omogućava napadačima da dodaju nove korisnike sa root privilegijama i trajno ruše uređaje koristeći e-poštu sa zlonamernim privilegijama.
“Napadač bi mogao iskoristiti ovu ranjivost slanjem e-pošte koja sadrži napravljeni prilog putem pogođenog uređaja”, napominje se. “Uspješno iskorištavanje može omogućiti napadaču da zamijeni bilo koju datoteku u osnovnom sistemu datoteka.”
„Napadač bi tada mogao izvršiti bilo koju od sljedećih radnji: dodati korisnike s root privilegijama, izmijeniti konfiguraciju uređaja, izvršiti proizvoljni kod ili uzrokovati trajno uskraćivanje usluge (DoS) na pogođenom uređaju.“
Greška utiče na SEG uređaje ako pokreće ranjivo izdanje Cisco AsyncOS i ako su ispunjeni sljedeći preduslovi:
- Funkcija analize datoteka (dio Cisco napredne zaštite od zlonamjernog softvera) ili funkcija filtera sadržaja je omogućena i dodijeljena je politici dolazne pošte
- Verzija Alati za skeniranje sadržaja je starija od 23.3.0.4823
Zakrpa za CVE-2024-20401 je dostupna preko Content Scanner Tools verzija paketa 23.3.0.4823 i novije, što je podrazumevano uključeno u Cisco AsyncOS za Cisco softver za bezbednu e-poštu, izdanja 15.5.1-055 i novije.
CISA dodaje 3 greške KEV katalogu
Otkrivanje dolazi kada je američka Agencija za cyber sigurnost i sigurnost infrastrukture (CISA) dodala tri ranjivosti u svoj katalog poznatih eksploatiranih ranjivosti (KEV), na osnovu dokaza o aktivnoj eksploataciji:
- CVE-2024-34102 (CVSS rezultat: 9,8) – Adobe Commerce i Magento Open Source Ranjivost Nepravilno ograničenje XML reference eksternog entiteta (XXE)
- CVE-2024-28995 (CVSS rezultat: 8,6) – Ranjivost pri prelasku putanje SolarWinds Serv-U
- CVE-2022-22948 (CVSS rezultat: 6.5) – VMware vCenter Server neispravna zadana ranjivost dozvola za fajlove
CVE-2024-34102, koji se takođe naziva CosmicSting, je ozbiljna sigurnosna greška koja proizlazi iz nepravilnog rukovanja ugnežđenom deserijalizacijom, omogućavajući napadačima da postignu daljinsko izvršenje koda. Assetnote je krajem prošlog mjeseca objavio eksploataciju za provjeru koncepta (PoC) za propust.
GreyNoise je detaljno opisao izveštaje o eksploataciji CVE-2024-28995, transverzalne ranjivosti direktorijuma koja bi mogla da omogući pristup osetljivim fajlovima na glavnom računaru, uključujući pokušaje čitanja datoteka kao što je /etc/passwd.
Zloupotrebu CVE-2022-22948 je, s druge strane, Mandiant u vlasništvu Googlea pripisao grupi za cyber špijunažu u Kini, poznatoj kao UNC3886, koja ima istoriju iskorištavanja nultodnevnih nedostataka u Fortinetu, Ivantiju i VMware uređaji.
Federalne agencije su dužne primijeniti mjere ublažavanja prema uputstvima dobavljača do 7. augusta 2024. godine, kako bi osigurale svoje mreže od aktivnih prijetnji.
Izvor:The Hacker News