Cisco에서는 패치되지 않은 Cisco Smart Software Manager On-Prem(Cisco SSM On-Prem) 라이선스 서버에서 공격자가 모든 사용자 비밀번호를 변경할 수 있도록 하는 최대 심각도 취약성에 대한 악용 코드가 현재 발견되었다고 경고했습니다.
Cisco SSM On-Prem은 Cisco Smart Licensing 구성 요소로서, 로컬 네트워크의 전용 대시보드를 사용하여 조직 환경에서 계정 및 제품 라이선스를 관리하는 데 도움이 됩니다.
Cisco PSIRT는 이 권고에 설명된 취약성에 대한 개념 증명 악용 코드가 사용 가능하다는 사실을 알고 있습니다.”라고 수요일에 경고했습니다.
그러나 Cisco는 아직 공격자가 이 보안 결함(CVE-2024-20419로 추적됨)을 실제로 악용한 증거를 찾지 못했습니다.
CVE-2024-20419는 SSM On-Prem의 인증 시스템에서 검증되지 않은 비밀번호 변경 취약점으로 인해 발생합니다. 이 취약점을 통해 인증되지 않은 공격자는 원래 자격 증명을 알지 못한 채 원격으로 모든 사용자 비밀번호(관리자 계정에 사용되는 비밀번호 포함)를 변경할 수 있습니다.
“이 취약점은 비밀번호 변경 프로세스의 부적절한 구현으로 인해 발생합니다. 공격자는 영향을 받는 기기에 정교하게 만든 HTTP 요청을 보내 이 취약점을 악용할 수 있습니다.” Cisco는 7월에 결함을 해결하기 위한 보안 업데이트를 출시했을 때 설명했습니다.
“성공적인 익스플로잇을 통해 공격자는 손상된 사용자의 권한으로 웹 UI 또는 API에 액세스할 수 있습니다.”
영향을 받은 시스템에 대한 해결 방법은 없으며, 모든 관리자는 취약한 SSM 온프레미스 서버를 보호하기 위해 수정된 릴리스로 업그레이드해야 합니다.
지난달, 시스코는 공격자가 루트 권한이 있는 새로운 사용자를 추가하고 악성 첨부 파일이 있는 이메일을 사용하여 보안 이메일 게이트웨이(SEG) 어플라이언스를 영구적으로 충돌시킬 수 있는 심각한 취약성을 패치했으며, 4월부터 취약한 MDS 및 Nexus 스위치에 루트 권한으로 알려지지 않은 맬웨어를 설치하는 데 악용되고 있던 NX-OS 제로데이(CVE-2024-20399)를 수정했습니다.
오늘 CISA는 최근 시스템 구성 파일과 같은 민감한 데이터를 훔치기 위한 공격에서 기존 Cisco Smart Install 기능이 악용되는 것을 보고 관리자에게 해당 기능을 비활성화하라고 경고했습니다.
