思科授權管理軟體存在重大漏洞,攻擊者可用來取得管理者權限、竊取敏感資料
9月4日思科發布資安公告,指出用於授權管理的公用程式Smart Licensing Utility存在重大層級漏洞CVE-2024-20439、CVE-2024-20440,攻擊者可在未經授權的情況下遠端利用,從而在此公用程式執行的過程中,收集敏感資訊,或是管理此公用程式的服務。
不過,攻擊者若要利用這些漏洞,前提是使用者啟動Smart Licensing Utility,而且必須是正在運作的狀態才能觸發。上述漏洞影響2.0.0至2.2.0版Smart Licensing Utility,2.3.0版不受影響,此外,Smart Software Manager On-Prem及Smart Software Manager Satellite也不受影響。
值得留意的是,這些漏洞的CVSS風險評分都達到9.8(滿分10分),思科指出這些漏洞沒有相依性,攻擊者不需利用其他漏洞就能觸發。此外,除了升級新版軟體之外,並無其他緩解措施能夠降低風險。
其中,靜態帳密漏洞CVE-2024-20439與未記載於文件的管理帳號有關,攻擊者一旦成功利用,就有機會透過API取得管理員權限,並存取該公用程式。
另一個漏洞CVE-2024-20440,則有可能造成資訊洩露,該漏洞發生的原因與除錯事件記錄留下過多資訊造成,攻擊者若是藉此取得相關事件記錄檔案,就有機會得到能存取API的帳密資料。
【資安新聞-iThome】
思科授權管理軟體存在重大漏洞,攻擊者可用來取得管理者權限、竊取敏感資料
詳細資訊請參考:https://www.ithome.com.tw/news/164861
沒有留言:
張貼留言