Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến Tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
Hai lỗ hổng được đề cập gồm có:
– CVE-2024-20439 (Điểm CVSS: 9,8): Vấn đề tồn tại thông tin xác thực người dùng không được ghi nhận (undocumented static user) cho một tài khoản quản trị có thể cho phép kẻ tấn công khai thác để đăng nhập vào hệ thống bị ảnh hưởng
– CVE-2024-20440 (Điểm CVSS: 9,8): Lỗ hổng phát sinh do tệp log debug lưu trữ thông tin nhạy cảm, kẻ tấn công có thể truy cập các tệp này thông qua yêu cầu HTTP và lấy thông tin xác thực có thể được sử dụng để truy cập API.
Cisco lưu ý rằng những lỗ hổng này “không thể khai thác được trừ khi Tiện ích cấp phép thông minh của Cisco đã được người dùng khởi động (start) và đang hoạt động (actively running)”.
Các lỗ hổng được phát hiện trong quá trình thử nghiệm bảo mật nội bộ cũng không ảnh hưởng đến các sản phẩm Smart Software Manager On-Prem và Smart Software Manager Satellite.
Người dùng Cisco Smart License Utility phiên bản 2.0.0, 2.1.0 và 2.2.0 được khuyến nghị nên cập nhật lên bản phát hành đã sửa lỗi. Phiên bản 2.3.0 của phần mềm không bị ảnh hưởng bởi lỗi này.
Cisco cũng đã phát hành bản cập nhật để giải quyết lỗ hổng Command Injection trong Identity Services Engine (ISE) có thể cho phép kẻ tấn công cục bộ đã xác thực thực thi các lệnh tùy ý và leo thang quyền lên root.
Lỗ hổng có định danh CVE-2024-20469 (điểm CVSS: 6.0), yêu cầu kẻ tấn công phải có quyền quản trị hợp lệ trên thiết bị bị ảnh hưởng.
“Lỗ hổng phát sinh do xác thực không đầy đủ dữ liệu đầu vào do người dùng cung cấp”, công ty cho biết. Nó ảnh hưởng đến các phiên bản Cisco ISE 3.2 (3.2P7 – Tháng 9 năm 2024) và Cisco ISE 3.3 (3.3P4 – Tháng 10 năm 2024).
Công ty cũng cảnh báo về việc tồn tại mã khai thác (PoC) cho lỗ hổng, mặc dù họ chưa phát hiện bất kỳ hành vi khai thác nào liên quan đến lỗ hổng trong thực tế.
Nguồn: thehackernews.com.
