Cisco Systemsは7月17日(米国時間)、「Cisco Smart Software Manager On-Prem Password Change Vulnerability」において、Cisco Smart Software Managerオンプレミスに存在する緊急の脆弱性を修正したと報じた。この脆弱性を悪用されると、認証していないリモートの攻撃者に管理者を含むすべてのユーザーのパスワードを変更される可能性がある。

  • Cisco Smart Software Manager On-Prem Password Change Vulnerability

    Cisco Smart Software Manager On-Prem Password Change Vulnerability

脆弱性の情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-20419 - Cisco SSMオンプレミスに未検証のパスワード変更の脆弱性。認証していないリモートの攻撃者は、細工したHTTPリクエストを送信することで任意ユーザーのパスワードを変更する可能性がある

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • Cisco Smart Software Managerオンプレミス(On-Prem) バージョン8 リリース202206およびこれ以前のバージョン
  • Cisco Smart Software Managerサテライト(Satellite)のすべてのバージョン

なお、この脆弱性はCisco Smart Licensing UtilityおよびCisco Smart Software Managerオンプレミス(On-Prem) バージョン9には影響しない。

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Cisco Smart Software Managerオンプレミス(On-Prem) バージョン8 リリース202212

Cisco Smart Software ManagerサテライトはCisco Smart Software Managerオンプレミス バージョン7.0より前のバージョンにおける呼称。バージョン7.0からCisco Smart Software Managerオンプレミスと呼ばれるようになった。そのため、この脆弱性はCisco Smart Software Managerサテライトのすべてのバージョンに影響し、修正にはアップグレードする必要がある。

対策

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。シスコとサービス契約を締結している顧客には、通常のアップデートチャネルを通じてアップデートすることが推奨されている。

サービス契約のない顧客およびサードパーティーベンダーから購入したが修正リリースを入手できない顧客には、「Cisco Worldwide Support Contacts」に連絡してアップグレードすることが推奨されている。