(https://i.postimg.cc/44wJPNXF/Cisco.png) (https://postimages.org/)
Cisco ha solucionado una vulnerabilidad de gravedad máxima que permite a los atacantes cambiar la contraseña de cualquier usuario en servidores de licencias vulnerables de Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluidos los administradores.
La falla también afecta las instalaciones de SSM On-Prem anteriores a la versión 7.0, conocida como Cisco Smart Software Manager Satellite (SSM Satellite).
Como componente de Cisco Smart Licensing, SSM On-Prem ayuda a los proveedores de servicios y socios de Cisco a administrar cuentas de clientes y licencias de productos.
Registrada como CVE-2024-20419, esta falla de seguridad crítica es causada por una debilidad en el cambio de contraseña no verificada en el sistema de autenticación de SSM On-Prem. La explotación exitosa permite a atacantes remotos no autenticados establecer nuevas contraseñas de usuario sin conocer las credenciales originales.
"Esta vulnerabilidad se debe a una implementación incorrecta del proceso de cambio de contraseña. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado", explicó Cisco.
"Un exploit exitoso podría permitir a un atacante acceder a la interfaz de usuario web o API con los privilegios del usuario comprometido".
La compañía dice que no hay soluciones alternativas disponibles para los sistemas afectados por esta falla de seguridad y que todos los administradores deben actualizar a una versión fija para proteger los servidores vulnerables en su entorno.
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco aún tiene que encontrar evidencia de pruebas públicas de exploits de concepto o intentos de explotación dirigidos a esta vulnerabilidad.
A principios de este mes, la compañía parchó un NX-OS de día cero (CVE-2024-20399) que había sido explotado para instalar malware previamente desconocido como raíz en conmutadores MDS y Nexus vulnerables desde abril.
En abril, Cisco también advirtió que un grupo de hackers respaldado por el estado (seguido como UAT4356 y STORM-1849) había estado explotando otros dos errores de día cero (CVE-2024-20353 y CVE-2024-20359).
Desde noviembre de 2023, los atacantes han utilizado los dos errores contra los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) en una campaña denominada ArcaneDoor, dirigida a redes gubernamentales de todo el mundo.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/cisco-ssm-on-prem-bug-lets-hackers-change-any-users-password/