सिस्को ने अभी अधिकतम गंभीरता भेद्यता के लिए एक पैच जारी किया है जो हमलावरों को प्रशासकों सहित किसी भी उपयोगकर्ता का पासवर्ड बदलने की अनुमति देता है।
CVE-2024-20419 के रूप में पहचाने जाने वाले इस बग की अधिकतम CVSS 3.1 रेटिंग 10/10 है और यह सिस्को स्मार्ट सॉफ्टवेयर मैनेजर (SSM) ऑन-प्रीम के प्रमाणीकरण सिस्टम को प्रभावित करता है।
सिस्को ने इसके बारे में अधिक विवरण जारी नहीं किया है, जो कि भेद्यता की प्रकृति को देखते हुए समझ से कहीं अधिक है। हालाँकि, हम जानते हैं कि एक अप्रमाणित दूरस्थ हमलावर पासवर्ड बदलने के लिए इसका फायदा उठा सकता है। यह आदर्श नहीं है और इसे यथाशीघ्र ठीक करने की आवश्यकता है।
गंभीरता के आकलन की पूरी तरह से समीक्षा करने के बाद, हमले की जटिलता को “कम” के रूप में दर्जा दिया गया था: इसे अंजाम देने के लिए किसी विशेषाधिकार या उपयोगकर्ता सहभागिता की आवश्यकता नहीं होगी, और उत्पाद की अखंडता, उपलब्धता और गोपनीयता पर प्रभाव को “उच्च” के रूप में वर्णित किया गया है। .
सिस्को की सलाह में कहा गया है, “यह भेद्यता पासवर्ड परिवर्तन प्रक्रिया के गलत कार्यान्वयन के कारण है, जो भेद्यता पर नवीनतम विवरण प्रदान करती है।”
“एक हमलावर किसी प्रभावित डिवाइस पर विशेष रूप से तैयार किए गए HTTP अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। एक सफल शोषण एक हमलावर को समझौता किए गए उपयोगकर्ता के विशेषाधिकारों के साथ वेब यूआई या एपीआई तक पहुंचने की अनुमति दे सकता है। »
इस भेद्यता के लिए कोई समाधान नहीं है, इसलिए यदि आप अपना व्यवसाय चालू रखना चाहते हैं तो इन पैच को लागू करें। पासवर्डों सौभाग्य से, जंगली में इस प्रजाति के शोषण के अभी तक कोई संकेत नहीं हैं, लेकिन अब जब बिल्ली थैले से बाहर आ गई है, तो संभवतः बदलाव होने में ज्यादा समय नहीं लगेगा।
CVE-2024-20419 SSM ऑन-प्रेम और SSM सैटेलाइट दोनों को प्रभावित करता है। ये एक ही उत्पाद के लिए अलग-अलग नाम हैं, केवल अंतिम नाम 7.0 से पहले के संस्करणों को संदर्भित करता है।
संस्करण 8-202206 और इससे पहले के संस्करणों के लिए, संगठनों को संस्करण 8-202212, या इससे भी बेहतर, संस्करण 9 में अपग्रेड करना चाहिए, जो भेद्यता से प्रभावित नहीं है।
सिस्को ने यह उल्लेख नहीं किया है कि उसके कितने ग्राहक संभावित रूप से इस दोष से प्रभावित हैं, हालाँकि यह एक ताज़ा अपडेट है सफेद कागज सिस्को द्वारा लिखित एसएसएम ऑन-प्रेम के बारे में (पीडीएफ) में कहा गया है कि उत्पाद “अक्सर वित्तीय संस्थानों, उपयोगिताओं, सेवा प्रदाताओं और सरकारी संगठनों द्वारा उपयोग किया जाने वाला संदर्भ समाधान है।”
हालाँकि यह सभी ग्राहकों के लिए बनाया गया उत्पाद है, लेकिन जिन उद्योगों में इसका सबसे अधिक उपयोग किया जाता है, उनका सुझाव है कि सफल हमलों के कुछ बहुत बुरे परिणाम हो सकते हैं जो आपूर्ति श्रृंखलाओं को प्रभावित करेंगे।
भेद्यता इनमें से सबसे उल्लेखनीय बग है समस्याओं की एक श्रृंखला सिस्को ने इस बुधवार को एक गंभीर खामी ठीक कर दी। यह सीवीई-2024-20401 (9.8) के साथ सुरक्षा अद्यतनों द्वारा तय की गई दो महत्वपूर्ण खामियों में से एक है, जो सिस्को सिक्योर ईमेल गेटवे के साथ एक समस्या है जो एक अप्रमाणित हमलावर को अंतर्निहित ऑपरेटिंग सिस्टम पर मनमानी फ़ाइलों को ओवरराइट करने की अनुमति देती है।
को नोटिस भी भेजा गया था विस्फोट त्रिज्या भेद्यता निजी क्षेत्र और शिक्षा जगत के सुरक्षा विशेषज्ञों द्वारा इस महीने की शुरुआत में खुलासा किया गया।
हालाँकि सिस्को ने अभी तक इस समस्या के लिए कोई समाधान जारी नहीं किया है, लेकिन एडवाइजरी में ब्लास्ट रेडियस से प्रभावित और अप्रभावित होने की पुष्टि करने वाले सभी उत्पादों को सूचीबद्ध किया गया है, साथ ही उत्पादों की एक लंबी सूची अभी भी जांच के अधीन है।
विक्रेता ने भेद्यता के लिए ज्ञात शमन पर प्रकाश डाला, लेकिन ग्राहकों को याद दिलाया कि उनका एप्लिकेशन प्रदर्शन को ख़राब कर सकता है। परामर्शी सिस्को की जांच जारी रहने पर इसे अपडेट किया जाएगा। ®
