Cisco telah merilis pembaruan keamanan untuk dua kelemahan keamanan kritis yang memengaruhi Smart Licensing Utility-nya yang dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk meningkatkan hak istimewa mereka atau mengakses informasi sensitif.
Berikut ini adalah deskripsi singkat dari kedua kerentanan tersebut –
- CVE-2024-20439 (skor CVSS: 9.8) – Adanya kredensial pengguna statis yang tidak terdokumentasi untuk akun administratif yang dapat dimanfaatkan oleh penyerang untuk masuk ke sistem yang terpengaruh
- CVE-2024-20440 (skor CVSS: 9.8) – Kerentanan yang timbul karena file log debug yang terlalu bertele-tele yang dapat dimanfaatkan penyerang untuk mengakses file tersebut melalui permintaan HTTP yang dibuat dan memperoleh kredensial yang dapat digunakan untuk mengakses API
Meskipun kekurangan ini tidak saling bergantung agar dapat berhasil, Cisco mencatat dalam pemberitahuannya bahwa kekurangan tersebut “tidak dapat dieksploitasi kecuali Cisco Smart Licensing Utility dimulai oleh pengguna dan sedang berjalan secara aktif.”
Kelemahan yang ditemukan selama pengujian keamanan internal juga tidak memengaruhi produk Smart Software Manager On-Prem dan Smart Software Manager Satellite.
Pengguna Cisco Smart License Utility versi 2.0.0, 2.1.0, dan 2.2.0 disarankan untuk memperbarui ke rilis yang sudah diperbaiki. Versi 2.3.0 dari perangkat lunak tersebut tidak rentan terhadap bug tersebut.
Cisco juga telah merilis pembaruan untuk mengatasi kerentanan injeksi perintah dalam Identity Services Engine (ISE) yang dapat mengizinkan penyerang lokal yang diautentikasi untuk menjalankan perintah sembarangan pada sistem operasi yang mendasarinya dan meningkatkan hak istimewa ke root.
Kelemahan tersebut, yang dilacak sebagai CVE-2024-20469 (skor CVSS: 6.0), mengharuskan penyerang memiliki hak istimewa administrator yang valid pada perangkat yang terpengaruh.
“Kerentanan ini terjadi karena validasi yang tidak memadai atas masukan yang diberikan pengguna,” kata perusahaan tersebut. “Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan perintah CLI yang dibuat khusus. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk meningkatkan hak akses ke root.”
Ini berdampak pada versi berikut –
- Cisco ISE 3.2 (3.2P7 – September 2024)
- Cisco ISE 3.3 (3.3P4 – Oktober 2024)
Perusahaan tersebut juga telah memperingatkan bahwa kode eksploitasi bukti konsep (PoC) tersedia, meskipun tidak mengetahui adanya eksploitasi berbahaya terhadap bug tersebut.