Cisco heeft patches uitgebracht om een zeer ernstig beveiligingslek aan te pakken dat impact heeft op Smart Software Manager On-Prem (Cisco SSM On-Prem). Hiermee kan een externe, niet-geverifieerde aanvaller de wachtwoorden van alle gebruikers wijzigen, inclusief die van beheerders.
De kwetsbaarheid, gevolgd als CVE-2024-20419heeft een CVSS-score van 10,0.
“Deze kwetsbaarheid is te wijten aan een onjuiste implementatie van het wachtwoordwijzigingsproces”, aldus het bedrijf in een advies. “Een aanvaller kan deze kwetsbaarheid misbruiken door gefabriceerde HTTP-verzoeken naar een getroffen apparaat te sturen. Een succesvolle exploit kan een aanvaller toegang geven tot de web-UI of API met de privileges van de gecompromitteerde gebruiker.”
De tekortkoming heeft betrekking op Cisco SSM On-Prem versies 8-202206 en eerder. Het is opgelost in versie 8-202212. Het is vermeldenswaard dat versie 9 niet vatbaar is voor de fout.
Cisco zei dat er geen oplossingen zijn die het probleem oplossen en dat het niet op de hoogte is van kwaadaardige exploitatie in het wild. Beveiligingsonderzoeker Mohammed Adel wordt gecrediteerd voor het ontdekken en rapporteren van de bug.
De fabrikant van netwerkapparatuur heeft ook een andere kritieke kwetsbaarheid in Secure Email Gateway opgelost (CVE-2024-20401, CVSS-score: 9,8), waardoor aanvallers nieuwe gebruikers met rootrechten kunnen toevoegen en apparaten permanent kunnen laten crashen met behulp van e-mails met schadelijke bijlagen.
“Een aanvaller zou deze kwetsbaarheid kunnen misbruiken door een e-mail te versturen die een gemanipuleerde bijlage bevat via een getroffen apparaat”, merkte het op. “Een succesvolle exploit zou de aanvaller in staat kunnen stellen om elk bestand op het onderliggende bestandssysteem te vervangen.”
“De aanvaller kan vervolgens een van de volgende acties uitvoeren: gebruikers met root-rechten toevoegen, de apparaatconfiguratie wijzigen, willekeurige code uitvoeren of een permanente denial-of-service (DoS)-situatie op het getroffen apparaat veroorzaken.”
Het lek treft SEG-apparaten als er een kwetsbare versie van Cisco AsyncOS op draait en als aan de volgende vereisten is voldaan:
- De functie voor bestandsanalyse (onderdeel van Cisco Advanced Malware Protection) of de functie voor inhoudsfilter is ingeschakeld en toegewezen aan een beleid voor binnenkomende e-mail
- De versie van Content Scanner Tools is ouder dan 23.3.0.4823
Er is een patch voor CVE-2024-20401 beschikbaar via Content Scanner Tools-pakketversies 23.3.0.4823 en hoger, die standaard zijn opgenomen in Cisco AsyncOS voor Cisco Secure Email Software-releases 15.5.1-055 en hoger.
CISA voegt 3 fouten toe aan KEV-catalogus
De onthulling komt nadat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) drie kwetsbaarheden heeft toegevoegd aan zijn catalogus met bekende misbruikte kwetsbaarheden (KEV), op basis van bewijs van actieve exploitatie:
- CVE-2024-34102 (CVSS-score: 9,8) – Adobe Commerce en Magento Open Source Onjuiste beperking van XML External Entity Reference (XXE) kwetsbaarheid
- CVE-2024-28995 (CVSS-score: 8,6) – Kwetsbaarheid in SolarWinds Serv-U-padtraversal
- CVE-2022-22948 (CVSS-score: 6,5) – Kwetsbaarheid met betrekking tot onjuiste standaardbestandsrechten in VMware vCenter Server
CVE-2024-34102, ook wel CosmicSting genoemd, is een ernstig beveiligingslek dat voortkomt uit onjuiste verwerking van geneste deserialisatie, waardoor aanvallers code op afstand kunnen uitvoeren. Eind vorige maand werd door Assetnote een proof-of-concept (PoC)-exploit voor het lek vrijgegeven.
GreyNoise heeft gedetailleerde rapporten gepubliceerd over het misbruik van CVE-2024-28995, een directory-transversale kwetsbaarheid die toegang tot gevoelige bestanden op de hostmachine mogelijk maakt. Hierbij zijn ook pogingen gedaan om bestanden zoals /etc/passwd te lezen.
Het misbruik van CVE-2022-22948 wordt door Mandiant, eigendom van Google, toegeschreven aan een cyberespionagegroep met een focus op China, bekend als UNC3886. Deze groep heeft een geschiedenis van het misbruiken van zero-day-lekken in Fortinet-, Ivanti- en VMware-apparaten.
Federale overheidsinstanties moeten uiterlijk 7 augustus 2024 maatregelen treffen volgens de instructies van de leverancier om hun netwerken te beveiligen tegen actieve bedreigingen.
