دربارهی آسیبپذیری
یک آسیبپذیری بحرانی با شناسه CVE-2020-3158 در سرویس Smart Software Manager (SSM) On-Prem سیسکو که پیشتر با نام Cisco Smart Software Manager satellite عرضه میشد و در مدیریت لاسینسهای سیسکو بدون نیاز به اتصال اینترنتی کاربرد دارد، یافت شده است. آسیبپذیری مذکور به مهاجم از راه دور و بدون نیاز به احراز هویت با یک اکانت با دسترسی بالا امکان دسترسی به نقاط حساس سیستم را میدهد.
آسیبپذیری از یک حساب سیستمی با رمز عبور پیشفرض و ثابت که تحت کنترل آدمین سیستم نمیباشد، ناشی میشود. مهاجم میتواند با استفاده از این حساب پیشفرض، به سیستم آسیبپذیر متصل شود و با بهرهبرداری از این آسیبپذیری قابلیت نوشتن و خواندن اطلاعات موجود در سیستم شامل اطلاعات مربوط به پیکربندی سیستم آسیبپذیر را دارا خواهد بود.
سیسکو بهروزرسانیهای امنیتی را جهت وصله کردن این آسیبپذیری منتشر کرده است.
نسخههای آسیبپذیر
این آسیبپذیری در Smart Software Manager On-Prem سیسکو، نسخههای قبل از 7-202001 این محصول را در صورت فعال بودن ویژگی High Availability (HA) تحت تاثیر قرار میدهد. با مراجعه به رابط کاربری تحت وب آدمین و بررسی وجود ویجت High Availability Status در داشبورد اصلی میتوان از فعال بودن ویژگی آگاهی پیدا کرد. در صورت وجود ویجت مذکور، ویژگی فعال و سیستم آسیبپذیر خواهد بود.
- 13