Cisco, Smart Software Manager On-Prem’i (Cisco SSM On-Prem) etkileyen ve uzaktan, kimliği doğrulanmamış bir saldırganın, yönetici kullanıcılara ait olanlar da dahil olmak üzere herhangi bir kullanıcının parolasını değiştirmesine olanak sağlayabilecek maksimum düzeydeki bir güvenlik açığını gidermek için yamalar yayınladı.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-20419CVSS puanı 10.0’dır.
Şirket, “Bu güvenlik açığı, parola değiştirme sürecinin uygunsuz bir şekilde uygulanmasından kaynaklanmaktadır” dedi. söz konusu bir danışmada. “Bir saldırgan, etkilenen bir cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, bir saldırganın tehlikeye atılmış kullanıcının ayrıcalıklarıyla web kullanıcı arayüzüne veya API’ye erişmesine olanak tanıyabilir.”
Eksiklik Cisco SSM On-Prem 8-202206 ve önceki sürümleri etkiler. 8-202212 sürümünde düzeltildi. 9 sürümünün bu kusura duyarlı olmadığını belirtmekte fayda var.
Cisco, sorunu çözen bir geçici çözüm olmadığını ve vahşi doğada herhangi bir kötü amaçlı sömürüden haberdar olmadığını söyledi. Güvenlik araştırmacısı Mohammed Adel, hatayı keşfedip bildiren kişi olarak kabul edildi.
Ağ ekipmanı üreticisi tarafından düzeltilen bir diğer önemli güvenlik açığı ise Güvenli E-posta Ağ Geçidi’nde (CVE-2024-20401, CVSS puanı: 9.8), saldırganların kötü amaçlı ekleri olan e-postaları kullanarak kök ayrıcalıklarına sahip yeni kullanıcılar eklemesine ve cihazları kalıcı olarak çökertmesine olanak tanıyan bir başka kritik dosya yazma güvenlik açığıdır.
“Bir saldırgan, etkilenen bir cihaz üzerinden hazırlanmış bir ek içeren bir e-posta göndererek bu güvenlik açığından yararlanabilir” kayıt edilmiş“Başarılı bir istismar, saldırganın temel dosya sistemindeki herhangi bir dosyayı değiştirmesine olanak tanıyabilir.”
“Saldırgan daha sonra aşağıdaki eylemlerden herhangi birini gerçekleştirebilir: kök ayrıcalıklarına sahip kullanıcılar ekleyebilir, cihaz yapılandırmasını değiştirebilir, keyfi kod çalıştırabilir veya etkilenen cihazda kalıcı bir hizmet reddi (DoS) durumu oluşturabilir.”
Bu kusur, Cisco AsyncOS’un güvenlik açığı olan bir sürümünü çalıştırıyorsa ve aşağıdaki ön koşullar karşılanıyorsa SEG aygıtlarını etkiler –
- Dosya analizi özelliği (Cisco Gelişmiş Kötü Amaçlı Yazılım Koruması’nın bir parçası) veya içerik filtresi özelliği etkinleştirildi ve gelen posta politikasına atandı
- İçerik Tarayıcı Araçları sürümü 23.3.0.4823’ten daha eskidir
CVE-2024-20401 için bir yama, Cisco AsyncOS for Cisco Secure Email Software 15.5.1-055 ve sonraki sürümlerine varsayılan olarak dahil edilen Content Scanner Tools paketinin 23.3.0.4823 ve sonraki sürümleri aracılığıyla kullanılabilir.
CISA, KEV Kataloğuna 3 Kusur Ekliyor
Açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) açıklamasıyla geldi katma Bilinen İstismar Edilen Güvenlik Açıklarına ilişkin üç güvenlik açığı (KEV) kataloğu, aktif sömürüye dair kanıtlara dayalıdır –
- CVE-2024-34102 (CVSS puanı: 9.8) – Adobe Commerce ve Magento Açık Kaynak XML Harici Varlık Referansı (XXE) Güvenlik Açığının Uygunsuz Kısıtlanması
- CVE-2024-28995 (CVSS puanı: 8.6) – SolarWinds Serv-U Yol Geçişi Güvenlik Açığı
- CVE-2022-22948 (CVSS puanı: 6.5) – VMware vCenter Server Yanlış Varsayılan Dosya İzinleri Güvenlik Açığı
CosmicSting olarak da bilinen CVE-2024-34102, iç içe geçmiş serileştirmenin uygunsuz şekilde işlenmesinden kaynaklanan ciddi bir güvenlik açığıdır ve saldırganların uzaktan kod yürütmeyi başarKusur için bir kavram kanıtı (PoC) istismarı piyasaya sürülmüş Assetnote tarafından geçen ayın sonlarında.
Ana makinedeki hassas dosyalara erişime olanak sağlayabilen bir dizin geçiş güvenlik açığı olan CVE-2024-28995’in istismarına ilişkin raporlar, detaylı GreyNoise tarafından, /etc/passwd gibi dosyaları okuma girişimleri de dahil.
Öte yandan CVE-2022-22948’in kötüye kullanımı, Google’a ait Mandiant tarafından UNC3886 olarak bilinen ve Fortinet, Ivanti ve VMware cihazlarındaki sıfır gün açıklarından yararlanma geçmişi olan Çin bağlantılı bir siber casusluk grubuna atfedildi.
Federal kurumların, ağlarını aktif tehditlere karşı güvence altına almak için 7 Ağustos 2024 tarihine kadar satıcı talimatları doğrultusunda önlemler alması gerekiyor.
