In einem Bulletin warnt Cisco vor einer Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglicht, die Passwörter von beliebigen Konten auf On-Prem-Geräten mit Cisco Smart Software Manager zu ändern. Gemäss der Meldung zur Lücke lassen sich damit auch Passwörter von Administratoren zurücksetzen.

Der Cisco Smart Software Manager für On-Prem-Systeme bietet ein Dashboard zur Verwaltung von Lizenzen für alle verwendeten Cisco-Geräte. Er wird von Kunden genutzt, die Lizenzen nicht in der Cloud verwalten können oder wollen. Der Schweregrad der Sicherheitslücke, die unter CVE-2024-20419 geführt wird, wird als kritisch eingestuft und mit der Höchstnote bewertet.

"Die Schwachstelle ist auf eine unsachgemässe Implementierung des Passwort-Änderungsprozesses zurückzuführen", heisst es von Cisco. "Ein Angreifer könnte die Schwachstelle ausnutzen, indem er manipulierte HTTP-Anfragen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte den Zugriff auf die Web-UI oder API mit den Rechten des betroffenen Benutzers ermöglichen."

Über die Web-Benutzeroberfläche und die Anwendungs­programmier­schnitt­stelle sollen die Angreifer auf andere Cisco-Geräte übergehen können, die mit demselben Netzwerk verbunden sind, und von dort aus Daten zu stehlen, Dateien zu verschlüsseln oder ähnliche Aktionen durchführen.

Mit dem Bulletin hat Cisco auch ein Sicherheitsupdate veröffentlicht, das die Schwachstelle beheben soll. Laut Cisco gibt es bis jetzt keine Hinweise darauf, dass die Sicherheitslücke aktiv ausgenutzt wird.