Een kritieke kwetsbaarheid in de Cisco Smart Software Manager On-Prem laat hackers toe om zelf zonder enige vorm van authenticatie wachtwoorden te veranderen, ook van beheerders.
Cisco moedigt gebruikers van de Cisco Smart Software Manager On-Prem aan om zo snel mogelijk een update te installeren. Die patcht immers een kritieke kwetsbaarheid, met een CVSS-score van tien. CVE-2024-20419 laat aanvallers toe om wachtwoorden van accounts op de Cisco Smart Software Manager On-Prem naar believen te veranderen.
Hackers kunnen een speciaal HTTP-request naar een kwetsbaar toestel sturen, om zo het wachtwoord van ieder account te veranderen. Vervolgens kunnen ze met de aangepaste gegevens inloggen. Een slechte implementatie van het proces om een wachtwoord legitiem te wijzigen, ligt aan de basis van de bug.
Onduidelijke impact
Wat de mogelijke schade is na een succesvolle inlogpoging, is niet duidelijk. Cisco Smart Software Manager On-Prem laat gebruikers toe om de licenties van al hun Cisco-producten lokaal te beheren in de plaats van in de cloud. Daartoe voorziet Cisco een speciaal toestel. De hardware speelt zelf echter geen kritieke beveiligingsrol.
Een update installeren, is de enige oplossing voor het probleem. Er bestaat geen workaround. Volgens Cisco zijn er op dit moment geen aanwijzingen dat de bug ook effectief wordt uitgebuit.
Cisco merkt nog op dat Cisco SSM On-Prem en Cisco SSM Satellite hetzelfde product zijn. Voorafgaand aan Release 7.0, leefde het ding onder de naam Cisco SSM Satellite. Pas vanaf Release 7.0, heet de oplossing Cisco SSM On-Prem.