思科 SSM On-Prem 等服务漏洞CVE-2024-20419

思科公司近日披露了一个其内部智能软件管理器 (SSM On-Prem) 中的严重漏洞，该漏洞被追踪为CVE-2024-20419。

据悉，该漏洞允许未经身份验证的远程攻击者更改包括管理员账户在内的所有用户的密码，其严重程度评分为 10 分。

该漏洞是由于思科SSM On-Prem认证系统中密码更改过程执行不当造成的，目前思科已发布软件更新来解决该漏洞。

攻击者通过向受影响的设备发送特制的 HTTP 请求利用该漏洞，允许攻击者以受影响用户的权限访问 Web UI 或 API。

如此一来，攻击者就可以在未经授权的情况下对设备进行管理控制，受漏洞影响的产品/服务如下：

思科 SSM On-Prem

思科智能软件管理器卫星版（SSM Satellite）

注：思科 SSM 卫星版已更名为思科智能软件管理器，7.0 版本之前称思科SSM卫星版，之后为思科SSM On-Prem。

_{图源 cybersecuritynews}

目前没有任何公开声明或证据表明有人恶意利用该漏洞，思科产品安全事件响应团队（PSIRT）也将对此持续关注。

思科公司紧急发布安全更新，修复 Smart Software Manager On-Prem（SSM On-Prem）许可证服务器的安全漏洞。

而且该漏洞目前没有可用的解决方案，思科方面建议所有受影响用户升级其固件来降低安全风险，保证其系统安全。

拥有服务合同的用户可以通过常规渠道获得更新固件，没有服务合同的可联系思科技术支持中心（TAC）获取更新。

翻译工具：搜狗翻译

参考资料：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy

https://cybersecuritynews.com/cisco-ssm-password-change-vulnerability/