Cisco a corrigé une vulnérabilité de gravité maximale qui permet aux attaquants de modifier le mot de passe de n’importe quel utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem vulnérables (Cisco SSM On-Prem), y compris les administrateurs.

La faille affecte également les installations SSM sur site antérieures à la version 7.0, connue sous le nom de satellite Cisco Smart Software Manager (Satellite SSM).

En tant que composant Cisco Smart Licensing, SSM On-Prem aide les fournisseurs de services et les partenaires Cisco à gérer les comptes clients et les licences de produits.

Identifiée comme CVE-2024-20419, cette faille de sécurité critique est causée par une faiblesse de changement de mot de passe non vérifiée dans le système d’authentification de SSM On-Prem. Une exploitation réussie permet à des attaquants distants non authentifiés de définir de nouveaux mots de passe utilisateur sans connaître les informations d’identification d’origine.

« Cette vulnérabilité est due à une mauvaise implémentation du processus de changement de mot de passe. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP contrefaites à un appareil affecté », a expliqué Cisco.

« Un exploit réussi pourrait permettre à un attaquant d’accéder à l’interface utilisateur Web ou à l’API avec les privilèges de l’utilisateur compromis. »

Version sur site de Cisco SSMPremière Version Fixe
8-202206 et versions antérieures8-202212
9Non vulnérable

La société affirme qu’aucune solution de contournement n’est disponible pour les systèmes affectés par cette faille de sécurité, et tous les administrateurs doivent passer à une version fixe pour sécuriser les serveurs vulnérables dans leur environnement.

L’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco n’a pas encore trouvé de preuves d’exploits publics de validation de principe ou de tentatives d’exploitation ciblant cette vulnérabilité.

Plus tôt ce mois-ci, la société a corrigé un jour zéro NX-OS (CVE-2024-20399) qui avait été exploité pour installer des logiciels malveillants auparavant inconnus en tant que root sur des commutateurs MDS et Nexus vulnérables depuis avril.

En avril, Cisco a également averti qu’un groupe de piratage soutenu par l’État (suivi comme UAT4356 et STORM-1849) exploitait deux autres bogues zero-day (CVE-2024-20353 et CVE-2024-20359).

Depuis novembre 2023, les attaquants ont utilisé les deux bogues contre les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) dans une campagne baptisée ArcaneDoor, ciblant les réseaux gouvernementaux du monde entier.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *