Am 17. Juli 2024 veröffentlichte Cisco eine kritische Sicherheitswarnung (Advisory ID: cisco-sa-cssm-auth-sLw3uhUy) bezüglich einer Schwachstelle im Authentifizierungssystem des Cisco Smart Software Manager On-Prem (SSM On-Prem). Die Sicherheitslücke CVE-2024-20419 hat eine Basisbewertung von 10.0 nach dem Common Vulnerability Scoring System (CVSS) und wird daher als äußerst schwerwiegend eingestuft.
Die Schwachstelle ermöglicht es einem nicht authentifizierten, entfernten Angreifer, das Passwort eines beliebigen Benutzers zu ändern, einschließlich administrativer Benutzer. Ursache hierfür ist eine fehlerhafte Implementierung des Passwortänderungsprozesses. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete HTTP-Anfragen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff ermöglicht es dem Angreifer, auf die Web-UI oder API mit den Rechten des kompromittierten Benutzers zuzugreifen.
Diese Schwachstelle betrifft die Produkte Cisco SSM On-Prem und Cisco Smart Software Manager Satellite (SSM Satellite). Es ist zu beachten, dass Cisco SSM On-Prem und Cisco SSM Satellite dasselbe Produkt sind. Vor der Veröffentlichung von Version 7.0 wurde das Produkt als Cisco SSM Satellite bezeichnet, ab Version 7.0 wird es als Cisco SSM On-Prem bezeichnet.
Für Informationen darüber, welche Cisco-Softwareversionen anfällig sind, siehe den Abschnitt „Fixed Software“ der Sicherheitswarnung.
Cisco hat bestätigt, dass diese Schwachstelle keine Auswirkungen auf das Cisco Smart Licensing Utility hat.
Cisco hat Software-Updates veröffentlicht, die diese Schwachstelle beheben. Derzeit sind keine Workarounds verfügbar, die diese Sicherheitslücke beheben können. Benutzer werden dringend dazu aufgefordert, die bereitgestellten Updates zu installieren, um ihre Systeme zu schützen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: