Cisco a publié des correctifs pour corriger une faille de sécurité de gravité maximale affectant Smart Software Manager On-Prem (Cisco SSM On-Prem) qui pourrait permettre à un attaquant distant non authentifié de modifier le mot de passe de n’importe quel utilisateur, y compris ceux appartenant aux utilisateurs administratifs.
La vulnérabilité, suivie comme CVE-2024-20419porte un score CVSS de 10,0.
« Cette vulnérabilité est due à une mauvaise mise en œuvre du processus de changement de mot de passe », a déclaré la société. dit dans un avis. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP spécialement conçues à un appareil affecté. Une exploitation réussie pourrait permettre à un attaquant d’accéder à l’interface utilisateur Web ou à l’API avec les privilèges de l’utilisateur compromis. »
Cette faille affecte les versions Cisco SSM On-Prem 8-202206 et antérieures. Elle a été corrigée dans la version 8-202212. Il convient de noter que la version 9 n’est pas concernée par cette faille.
Cisco a déclaré qu’il n’existait aucune solution de contournement pour résoudre le problème et qu’il n’avait connaissance d’aucune exploitation malveillante. Le chercheur en sécurité Mohammed Adel a été crédité de la découverte et du signalement du bug.
La CISA ajoute 3 failles au catalogue KEV
Cette révélation intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée trois vulnérabilités à ses vulnérabilités connues exploitées (KEV) catalogue, basé sur des preuves d’exploitation active –
- CVE-2024-34102 (Score CVSS : 9,8) – Vulnérabilité de restriction incorrecte de la référence d’entité externe XML (XXE) dans Adobe Commerce et Magento Open Source
- CVE-2024-28995 (Score CVSS : 8,6) – Vulnérabilité de traversée de chemin SolarWinds Serv-U
- CVE-2022-22948 (Score CVSS : 6,5) – Vulnérabilité liée aux autorisations de fichiers par défaut incorrectes de VMware vCenter Server
CVE-2024-34102, également appelé CosmicSting, est une faille de sécurité grave résultant d’une mauvaise gestion de la désérialisation imbriquée, permettant aux attaquants de réaliser l’exécution de code à distance. Un exploit de preuve de concept (PoC) pour la faille a été libéré par Assetnote à la fin du mois dernier.
Des rapports sur l’exploitation de CVE-2024-28995, une vulnérabilité transversale au répertoire qui pourrait permettre l’accès à des fichiers sensibles sur la machine hôte, ont été détaillé par GreyNoise, y compris les tentatives de lecture de fichiers tels que /etc/passwd.
L’abus de CVE-2022-22948, en revanche, a été attribué par Mandiant, propriété de Google, à un groupe de cyberespionnage lié à la Chine connu sous le nom de UNC3886, qui a pour habitude d’exploiter les failles zero-day des appareils Fortinet, Ivanti et VMware.
Les agences fédérales sont tenues d’appliquer des mesures d’atténuation conformément aux instructions du fournisseur d’ici le 7 août 2024, pour sécuriser leurs réseaux contre les menaces actives.