Les utilisateurs de Smart Software Manager On-prem (ex SSM Satellite) doivent être très vigilants suite à la publication d'un bulletin de sécurité par Cisco. Ce composant de Smart Licensing, servant aux entreprises à gérer les licences produits de l'équipementier, est en effet affecté par une faille critique (CVE-2024-20419) au score CVSS de 10. En cas d'exploit, elle pourrait permettre à un attaquant distant non authentifié de modifier le mot de passe de n'importe quel utilisateur, y compris les administrateurs.
"Cette vulnérabilité est due à une mauvaise implémentation du processus de changement de mot de passe", a expliqué le fournisseur. "Un attaquant peut exploiter cette faille en envoyant des requêtes HTTP élaborées à un terminal affecté. Une exploitation réussie pourrait permettre à un attaquant d'accéder à l'interface utilisateur web ou à l'API avec les privilèges de l'utilisateur compromis." Pour l'heure, Cisco n'a pas trouvé de preuve d'exploit dans la nature.
Pas de solution de contournement possible
Toutes les versions de SSM On-Prem antérieures à la 7.0 sont vulnérables. Il n'existe pas de solution de contournement pour remédier à cette vulnérabilité, seule une mise à jour corrective permet de remédier à ce problème. Ce n'est pas la première fois que Smart Software Manager On-prem est touché par une faille de sécurité critique, cela avait été déjà le cas en 2020 avec la CVE-2020-3158 d'un score CVSS de 9.8.