Cisco ha solucionado una vulnerabilidad crítica que permitía a atacantes cambiar las contraseñas de cualquier usuario en servidores de licencias Cisco Smart Software Manager On-Prem (SSM On-Prem), incluidos administradores. Esta vulnerabilidad también afecta a las versiones locales de SSM anteriores a la versión 7.0, conocidas como Cisco Smart Software Manager Satellite (SSM Satellite).
El Cisco Smart Software Manager On-Prem es una parte integral del Cisco Smart Licensing, facilitando a proveedores de servicios y partners de Cisco la gestión de cuentas de clientes y licencias de productos. Identificado como CVE-2024-20419, este fallo de seguridad es causado por una debilidad en el sistema de autenticación que permite el cambio de contraseña no verificado. Los atacantes remotos no autenticados pueden establecer nuevas contraseñas sin conocer las credenciales originales.
«Esta vulnerabilidad surge de una implementación incorrecta del proceso de cambio de contraseña. Un atacante podría explotarla enviando solicitudes HTTP elaboradas a un dispositivo afectado», explicó Cisco. «Un exploit exitoso permitiría al atacante acceder a la interfaz web o API con los privilegios del usuario comprometido».
| Versión local de Cisco SSM | Primera versión fija |
|---|---|
| 8-202206 y anteriores | 8-202212 |
| 9 | No es vulnerable |
Cisco enfatiza que no existen soluciones alternativas para los sistemas afectados, por lo que es crucial que todos los administradores actualicen a una versión corregida para proteger los servidores vulnerables.
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco no ha encontrado evidencia de exploits públicos o intentos de explotación dirigidos a esta vulnerabilidad.
A principios de este mes, Cisco parcheó un fallo de día cero en NX-OS (CVE-2024-20399), previamente explotado para instalar malware como root en switches MDS y Nexus. En abril, Cisco alertó sobre un grupo de hackers respaldado por el estado, identificado como UAT4356 y STORM-1849, que explotaba otros dos fallos de día cero (CVE-2024-20353 y CVE-2024-20359). Desde noviembre de 2023, estos atacantes han utilizado estos errores contra los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) en una campaña denominada ArcaneDoor, dirigida a redes gubernamentales a nivel mundial.
Fuente: BleepingComputer
