Cisco avertit que le code d’exploitation est désormais disponible pour une vulnérabilité de gravité maximale qui permet aux attaquants de modifier n’importe quel mot de passe utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) non corrigés.

En tant que composant Cisco Smart Licensing, Cisco SSM On-Prem permet de gérer les comptes et les licences de produits dans l’environnement d’une organisation à l’aide d’un tableau de bord dédié sur le réseau local.

« Le PSIRT de Cisco est conscient qu’un code d’exploitation de validation de principe est disponible pour la vulnérabilité décrite dans cet avis », a averti la société mercredi.

Cependant, Cisco n’a pas encore trouvé de preuves d’attaquants exploitant cette faille de sécurité (suivie sous le nom de CVE-2024-20419) dans la nature.

CVE-2024-20419 est causé par une faiblesse de changement de mot de passe non vérifiée dans le système d’authentification de SSM On-Prem. Cette faiblesse permet aux attaquants non authentifiés de modifier à distance n’importe quel mot de passe utilisateur (y compris ceux utilisés pour les comptes d’administrateur) sans connaître les informations d’identification d’origine.

« Cette vulnérabilité est due à une mauvaise implémentation du processus de changement de mot de passe. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP contrefaites à un appareil affecté », a expliqué Cisco en juillet lorsqu’il a publié des mises à jour de sécurité pour remédier à la faille.

« Un exploit réussi pourrait permettre à un attaquant d’accéder à l’interface utilisateur Web ou à l’API avec les privilèges de l’utilisateur compromis. »

Aucune solution de contournement n’est disponible pour les systèmes affectés, et tous les administrateurs doivent effectuer une mise à niveau vers une version fixe pour sécuriser les serveurs SSM sur site vulnérables.

Le mois dernier, Cisco a également corrigé une vulnérabilité critique qui permet aux attaquants d’ajouter de nouveaux utilisateurs avec des privilèges root et de bloquer définitivement les appliances Security Email Gateway (SEG) à l’aide d’e-mails avec des pièces jointes malveillantes et a corrigé un jour zéro NX-OS (CVE-2024-20399) qui avait été exploité dans la nature depuis avril pour installer des logiciels malveillants auparavant inconnus en tant que root sur des commutateurs MDS et Nexus vulnérables.

Aujourd’hui, CISA a averti les administrateurs de désactiver l’ancienne fonctionnalité Cisco Smart Install après l’avoir vue abusée lors d’attaques récentes pour voler des données sensibles telles que des fichiers de configuration système.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *