O bug Cisco SSM On-Prem permite que hackers alterem a senha de qualquer usuário

A Cisco corrigiu uma vulnerabilidade de gravidade máxima que permite que os invasores alterem a senha de qualquer usuário em servidores de licença vulneráveis do Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluindo administradores.

A falha também afeta as instalações do SSM On-Prem anteriores à Versão 7.0, conhecida como Cisco Smart Software Manager Satellite (SSM Satellite).

Como um componente Cisco Smart Licensing, o SSM On-Prem auxilia provedores de serviços e parceiros da Cisco no gerenciamento de contas de clientes e licenças de produtos.

Rastreada como CVE-2024-20419, essa falha crítica de segurança é causada por uma falha de alteração de senha não verificada no sistema de autenticação do SSM On-Prem. A exploração bem-sucedida permite que atacantes remotos não autenticados definam novas senhas de usuário sem conhecer as credenciais originais.

“Esta vulnerabilidade é devido à implementação inadequada do processo de alteração de senha. Um intruso poderia explorar esta vulnerabilidade enviando pedidos HTTP criados para um dispositivo afectado” Cisco explicado.

“Uma exploração bem-sucedida pode permitir que um invasor acesse a UI ou a API da Web com os privilégios do usuário comprometido.”

Lançamento do Cisco SSM On-PremPrimeira Liberação Fixa
8-202206 e anteriores8-202212
9Não vulnerável

A empresa diz que não há soluções alternativas disponíveis para sistemas afetados por essa falha de segurança, e todos os administradores devem atualizar para uma versão fixa para proteger servidores vulneráveis em seu ambiente.

A Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) da Cisco ainda não encontrou evidências de explorações públicas de prova de conceito ou tentativas de exploração visando essa vulnerabilidade.

No início deste mês, a empresa corrigiu um dia zero do NX-OS (CVE-2024-20399) que tinha sido explorado para instalar malware anteriormente desconhecido como root em switches MDS e Nexus vulneráveis desde abril.

Em abril, a Cisco também alertou que um grupo de hackers apoiado pelo estado (atravessado como UAT4356 e STORM-1849) estava explorando dois outros bugs de dia zero (CVE-2024-20353 e CVE-2024-20359).

Desde novembro de 2023, os atacantes usaram os dois bugs contra os firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) em uma campanha apelidada de ArcaneDoor, visando redes governamentais em todo o mundo.