Взлом паролей и захват сервера: Cisco закрывает брешь в системе

Компания Cisco устранила критическую уязвимость в Cisco SSM On-Prem, которая позволяет изменить пароль любого пользователя, включая администраторов. Являясь компонентом Cisco Smart Licensing, SSM On-Prem помогает поставщикам услуг и партнерам Cisco управлять учетными записями клиентов и лицензиями на продукты.

CVE-2024-20419 (оценка CVSS: 10.0) вызвана неправильной реализацией процесса смены пароля. Злоумышленник может воспользоваться ошибкой, отправив специально созданные HTTP-запросы на уязвимое устройство. Успешный эксплойт позволяет атакующему получить доступ к веб-интерфейсу пользователя или API с привилегиями скомпрометированного пользователя.

Недостаток затрагивает Cisco SSM On-Prem версий 8-202206 и более ранних. Был исправлен в версии 8-202212. Стоит отметить, что версия 9 не подвержена уязвимости. Уязвимость также затрагивает локальные установки SSM более ранних версий, чем 7.0, известные как Cisco Smart Software Manager Satellite (SSM Satellite).

Cisco заявила, что нет обходных путей, которые решают эту проблему, и что компании неизвестно о какой-либо вредоносной эксплуатации.

Ранее Cisco устранила уязвимость нулевого дня NX-OS, использованную для установки неизвестного вредоносного ПО с root-правами на уязвимые коммутаторы Cisco Nexus. ИБ-компания Sygnia первая сообщила о zero-day уязвимости в Cisco и связала атаки с китайскими правительственными хакерами Velvet Ant. Основной целью группы является шпионаж, и она фокусируется на установлении долгосрочного доступа к сети жертвы.

Velvet Ant была впервые задокументирована Sygnia в мае в связи с кибератакой на неназванную организацию в Восточной Азии, которая продолжалась около трех лет. Вредоносная программа использовала устаревшие устройства F5 BIG-IP для скрытой кражи клиентской и финансовой информации.