In un recente comunicato, Cisco ha annunciato la correzione di una falla di sicurezza di massima gravità che interessava il suo software Smart Software Manager On-Prem (SSM On-Prem).
Questa vulnerabilità, classificata come critica, permetteva potenzialmente a malintenzionati non autenticati di modificare le password di qualsiasi utente, inclusi gli amministratori, compromettendo seriamente la sicurezza dei server di gestione delle licenze.
L’attenzione degli esperti su questa vulnerabilità e la sua classificazione critica risiede nel fatto che il componente SSM On-Prem riveste un ruolo cruciale nell’ecosistema Cisco, essendo ampiamente utilizzato da service provider e partner per la gestione degli account clienti e delle licenze dei prodotti.
“Vulnerabilità come questa sono estremamente pericolose in quanto consentono di bypassare i processi di autenticazione consentendo a un attaccante di compromettere completamente i dispositivi vulnerabili”, è il commento a caldo di Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Nel caso specifico, continua ancora Paganini, “ci troviamo dinanzi a una falla in un processo critico, come il cambio di password, che consente a un attaccate di impostare nuove chiavi di accesso per qualunque utente della soluzione vulnerabile, ivi comprese le credenziali per account di amministratori”.
Indice degli argomenti
I dettagli della vulnerabilità in Cisco SSM On-Prem
La vulnerabilità, identificata come CVE-2024-20419 e con un punteggio CVSS di 10.0, colpisce non solo le versioni più recenti di SSM On-Prem, ma anche le installazioni precedenti alla Release 7.0, conosciute come Cisco Smart Software Manager Satellite.
Il problema di sicurezza trae origine da un’implementazione inadeguata del processo di modifica delle password nel sistema di autenticazione di SSM On-Prem.
Il suo sfruttamento consentirebbe a un attaccante remoto, senza necessità di autenticazione, di impostare nuove credenziali per qualsiasi utente, bypassando completamente la conoscenza delle password originali.
Secondo gli esperti di Cisco, l’exploit della vulnerabilità in Smart Software Manager On-Prem (SSM On-Prem) potrebbe essere effettuato mediante l’invio di richieste HTTP appositamente create al dispositivo vulnerabile.
Il successo di tale operazione garantirebbe all’aggressore l’accesso all’interfaccia web o alle API con i privilegi dell’utente compromesso, aprendo potenzialmente le porte a ulteriori attività malevole.
Al momento, per fortuna, non sono state rilevate evidenze di tentativi di sfruttamento attivo o di Proof of Concept pubblici relativi a questa vulnerabilità. Tuttavia, la storia recente ci insegna che la prudenza non è mai troppa in ambito cyber security.
Secondo Pierluigi Paganini, infatti, “non possiamo escludere che una volta rivelata la falla, qualche attaccante possa cominciare a prenderla di mira o rilasciare un PoC exploit: per questo motivo, è essenziale aggiornare le installazioni vulnerabili immediatamente”.
Consigli per mitigare il rischio
Cisco non ha finora pubblicato alcun workaround temporaneo per correggere la vulnerabilità: di fatto, quindi, l’aggiornamento alla versione corretta del software Smart Software Manager On-Prem (SSM On-Prem) rimane l’unica soluzione praticabile per mitigare il rischio.
Gli amministratori sono quindi fortemente esortati a procedere con l’upgrade dei sistemi vulnerabili nel minor tempo possibile.
Eventi come questi, infatti, sottolineano l’importanza critica di una gestione proattiva della sicurezza e della tempestività negli aggiornamenti, specialmente per componenti infrastrutturali così fondamentali come quelli forniti da Cisco.
A tal proposito, è utile ricordare un recente studio di Cloudflare secondo cui, in alcuni casi, i criminali informatici cominciano a sfruttare gli exploit dopo soli 22 minuti dalla pubblicazione del relativo PoC.
Tale rapidità con cui le vulnerabilità vengono scoperte e sfruttate richiede, evidentemente, una vigilanza costante e una risposta immediata da parte dei professionisti della sicurezza informatica.
