Cisco a corrigé une vulnérabilité de gravité maximale qui permet aux attaquants de modifier le mot de passe de n'importe quel utilisateur sur les serveurs de licences vulnérables Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), y compris les administrateurs.

La faille affecte également les installations SSM On-Prem antérieures à la version 7.0, appelées Cisco Smart Software Manager Satellite (SSM Satellite).

En tant que composant Cisco Smart Licensing, SSM On-Prem aide les fournisseurs de services et les partenaires Cisco à gérer les comptes clients et les licences de produits.

Identifiée comme CVE-2024-20419, cette faille de sécurité critique est causée par une faiblesse non vérifiée liée au changement de mot de passe dans le système d'authentification de SSM On-Prem. Une exploitation réussie permet à des attaquants distants non authentifiés de définir de nouveaux mots de passe utilisateur sans connaître les informations d'identification d'origine.

« Cette vulnérabilité est due à une mise en œuvre incorrecte du processus de changement de mot de passe. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP spécialement conçues à un appareil affecté », a déclaré Cisco. expliqué.

« Un exploit réussi pourrait permettre à un attaquant d'accéder à l'interface utilisateur Web ou à l'API avec les privilèges de l'utilisateur compromis. »

La société affirme qu'aucune solution de contournement n'est disponible pour les systèmes impactés par cette faille de sécurité, et que tous les administrateurs doivent effectuer une mise à niveau vers une version corrigée pour sécuriser les serveurs vulnérables dans leur environnement.

L'équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco n'a pas encore trouvé de preuve d'exploitation publique de preuve de concept ou de tentatives d'exploitation ciblant cette vulnérabilité.

Plus tôt ce mois-ci, la société a corrigé une faille zero-day NX-OS (CVE-2024-20399) qui avait été exploitée pour installer des logiciels malveillants jusqu'alors inconnus en tant que root sur des commutateurs MDS et Nexus vulnérables depuis avril.

En avril, Cisco a également averti qu'un groupe de pirates soutenu par l'État (identifié comme UAT4356 et STORM-1849) avait exploité deux autres bogues zero-day (CVE-2024-20353 et CVE-2024-20359).

Depuis novembre 2023, des attaquants ont utilisé les deux bugs contre les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) dans une campagne baptisée ArcaneDoor, ciblant les réseaux gouvernementaux du monde entier.