Kritisk sårbarhed i Ciscos Smart Software Manager

Cisco opfordrer til opdatering.

En sårbarhed med CVSS-scoren 9.8 i Ciscos Smart Software Manager (SSM) har fået Cisco til at udsende en patch med en opfordring til kunderne om at opdatere. SSM hjælper organisationer med bl.a. at håndtere nøgler til Ciscos softwarelicenser, men kan i upatchet form også hjælpe angribere med at få adgang til følsomme dele af systemet. Ifølge ZDnet består sårbarheden i, at der findes et statisk kodeord til en systemkonto. Får man fingrene i det password, kan man få læse- og skriverettigheder til dele af systemer. Altså en kompromittering af informationernes fortrolighed og integritet.

Når nu det statiske kodeord er fundet, kan det ikke udlukkes, at det vil spredes i ondsindede kredse. Dermed er risikoen for kriminel eller hactivistisk udnyttelse til stede. Det er så det, Cisco opfordrer kunderne til at undgå ved at opdatere til en ny version.

Hvad er CVSS?

CVSS står for Common Vulnerabilty Scoring System og er en international standard til at vurdere alvoren af en sårbarhed. Standarden opererer med en skala fra 1-10, hvor scoren er udtryk for, hvor nemt en sårbarhed kan udnyttes, og konsekvensen ved at sårbarheden bliver udnyttet.

Jo højere score, jo mere kritisk er den. Formålet med scoringssystemet er, at det kan hjælpe system- og dataejere, der skal prioritere ressourcer til at håndtere sårbarheden, med at vurdere, hvor de skal bruge deres kræfter først, idet de naturligvis også skal skele til deres egen informationssikkerhedspolitik, systemet og datas kritikalitet for forretningen.

Links:

https://www.computerworld.dk/art/250854/cisco-advarer-alle-brugere-mod-saarbarhed-hackere-kan-faa-adgang-til-foelsomme-dele-af-systemet

https://www.version2.dk/artikel/cisco-opfordrer-alle-kunder-at-opdatere-kritisk-bug-licenssoftware-1090070

https://www.zdnet.com/article/cisco-critical-bug-static-password-in-smart-software-manager-patch-now-says-cisco/