Cisco ha corregido una vulnerabilidad de máxima gravedad que permite a los atacantes cambiar la contraseña de cualquier usuario en servidores de licencias Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) vulnerables, incluidos los administradores.
La falla también afecta a las instalaciones de SSM On-Prem anteriores a la versión 7.0, conocidas como Cisco Smart Software Manager Satellite (SSM Satellite).
Como componente de Cisco Smart Licensing, SSM On-Prem ayuda a los proveedores de servicios y socios de Cisco a administrar cuentas de clientes y licencias de productos.
Identificada como CVE-2024-20419, esta falla de seguridad crítica es causada por una vulnerabilidad de cambio de contraseña no verificada en el sistema de autenticación de SSM On-Prem. Su explotación exitosa permite a atacantes remotos no autenticados establecer nuevas contraseñas de usuario sin conocer las credenciales originales.
“Esta vulnerabilidad se debe a una implementación incorrecta del proceso de cambio de contraseña. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado”, dijo Cisco explicado.
“Una explotación exitosa podría permitir a un atacante acceder a la interfaz de usuario web o a la API con los privilegios del usuario comprometido”.
| Versión local de Cisco SSM | Primera versión corregida |
|---|---|
| 8-202206 y anteriores | 8-202212 |
| 9 | No vulnerable |
La compañía dice que no hay soluciones alternativas disponibles para los sistemas afectados por esta falla de seguridad y que todos los administradores deben actualizar a una versión corregida para proteger los servidores vulnerables en su entorno.
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco aún no ha encontrado evidencia de exploits de prueba de concepto públicos o intentos de explotación dirigidos a esta vulnerabilidad.
A principios de este mes, la empresa Se ha parcheado un día cero de NX-OS (CVE-2024-20399) que había sido explotado para instalar malware previamente desconocido como root en conmutadores MDS y Nexus vulnerables desde abril.
En abril, Cisco también advirtió que un grupo de piratas informáticos respaldado por el estado (identificado como UAT4356 y STORM-1849) había estado explotando otros dos errores de día cero (CVE-2024-20353 y CVE-2024-20359).
Desde noviembre de 2023, los atacantes han utilizado los dos errores contra los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) en un campaña denominada ArcaneDoorapuntando a redes gubernamentales en todo el mundo.
