O bug Cisco SSM On-Prem permite que hackers alterem a senha de qualquer usuário
A Cisco corrigiu uma vulnerabilidade de gravidade máxima que permite que os invasores alterem a senha de qualquer usuário em servidores de licença vulneráveis do Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluindo administradores.
A falha também afeta as instalações do SSM On-Prem anteriores à Versão 7.0, conhecida como Cisco Smart Software Manager Satellite (SSM Satellite).
Como um componente Cisco Smart Licensing, o SSM On-Prem auxilia provedores de serviços e parceiros da Cisco no gerenciamento de contas de clientes e licenças de produtos.
Rastreada como CVE-2024-20419, essa falha crítica de segurança é causada por uma falha de alteração de senha não verificada no sistema de autenticação do SSM On-Prem. A exploração bem-sucedida permite que atacantes remotos não autenticados definam novas senhas de usuário sem conhecer as credenciais originais.
“Esta vulnerabilidade é devido à implementação inadequada do processo de alteração de senha. Um intruso poderia explorar esta vulnerabilidade enviando pedidos HTTP criados para um dispositivo afectado” Cisco explicado.
“Uma exploração bem-sucedida pode permitir que um invasor acesse a UI ou a API da Web com os privilégios do usuário comprometido.”
| Lançamento do Cisco SSM On-Prem | Primeira Liberação Fixa |
|---|---|
| 8-202206 e anteriores | 8-202212 |
| 9 | Não vulnerável |
A empresa diz que não há soluções alternativas disponíveis para sistemas afetados por essa falha de segurança, e todos os administradores devem atualizar para uma versão fixa para proteger servidores vulneráveis em seu ambiente.
A Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) da Cisco ainda não encontrou evidências de explorações públicas de prova de conceito ou tentativas de exploração visando essa vulnerabilidade.
No início deste mês, a empresa corrigiu um dia zero do NX-OS (CVE-2024-20399) que tinha sido explorado para instalar malware anteriormente desconhecido como root em switches MDS e Nexus vulneráveis desde abril.
Em abril, a Cisco também alertou que um grupo de hackers apoiado pelo estado (atravessado como UAT4356 e STORM-1849) estava explorando dois outros bugs de dia zero (CVE-2024-20353 e CVE-2024-20359).
Desde novembro de 2023, os atacantes usaram os dois bugs contra os firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) em uma campanha apelidada de ArcaneDoor, visando redes governamentais em todo o mundo.
