Как попало, кому попало
Разработчики Cisco исправили максимально критическую уязвимость в продукте Smart Software Manager On-Prem. Данный баг позволял злоумышленникам менять пароли любым пользователям системы, в том числе администраторам. Уязвимость присутствовала и в более ранних версиях Smart Software Manager, именуемых Cisco Smart Software Manager Satellite.
SSM On-Prem является компонентом платформы Cisco Smart Licensing. С его помощью сервис-провайдеры и партнеры Cisco управляют пользовательскими аккаунтами и лицензиями на продукты.
Баг в системе верификации CVE-2024-20419 позволял подменять пароли злоумышленникам, не обладающим никакими правами в системе. Проблема была вызвана именно некорректной реализацией процедуры смены пароля, и хакеру достаточно было отправить специально составленный HTTP-запрос на уязвимое устройство, чтобы получить доступ к сетевому интерфейсу управления или API с правами ранее скомпрометированного пользователя.
В бюллетене разработчика указывается, что обходных мер, которые позволили бы временно нейтрализовать угрозу, не существует. Всем пользователям, особенно обладающим административными привилегиями, надлежит скорейшим образом установить обновления до версии 8-202212. Версия 9 Cisco SSM On-Prem уязвимости не содержит и так.
Эксплойтов долго ждать не придется
Подразделению по безопасности продуктов (Product Security Incident Response Team) Cisco пока не удалось обнаружить каких-либо эксплойтов – демонстрационных или практических, – которые были бы нацелены на данную уязвимость.
Однако теперь, когда информация о ней вышла в публичное поле, и выпущены патчи, есть все основания ожидать скорого начала атак.
«Хакеры, скорее всего, в ближайшем будущем произведут обратную разработку обновлений и выяснят, каким образом можно атаковать уязвимость, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Можно ожидать начала атак уже в ближайшие дни, так что медлить с установкой патчей означает буквально приглашать злоумышленников в гости».
Уязвимая Cisco
В начале июля компания Cisco была вынуждена устранять другую опасную уязвимость, которой уже вовсю пользовались хакеры, – CVE-2024-20399. «Баг» в NX-OS с апреля использовался злоумышленниками для установки в маршрутизаторы MDS и Nexus специализированного вредоносного ПО.
Еще две уязвимости в продуктах Cisco – CVE-2024-20353 и CVE-2024-20359 – эксплуатировались кибершпионскими группировками UAT4356 и STORM-1849. Об этом также стало известно в апреле 2024 г. Операторы этих группировок атаковали с помощью этих уязвимостей правительственные учреждения по всему миру.