Уязвимость статического ключа в программном обеспечении интеллектуального узла Cisco

Уязвимость в программном обеспечении Cisco Intelligent Node (iNode) может позволить неавторизованному удаленному злоумышленнику захватить соединение TLS между Cisco iNode Manager и связанными интеллектуальными узлами и отправить произвольный трафик на уязвимое устройство. Эта уязвимость возникает из-за наличия жестко закодированных криптографических материалов. Злоумышленник, находящийся в позиции «человек посередине» между Cisco iNode Manager и развернутыми узлами, может воспользоваться этой уязвимостью, используя статический криптографический ключ для генерации доверенного сертификата и имитации уязвимого устройства. Успешная эксплуатация может позволить злоумышленнику прочитать данные, предназначенные для законного устройства, изменить стартовую конфигурацию связанного узла и, как следствие, вызвать состояние отказа в обслуживании (DoS) для нижестоящих устройств, подключенных к уязвимому узлу. Cisco выпустила обновления программного обеспечения, которые устраняют эту уязвимость. Нет обходных путей, которые устраняют эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-inode-static-key-VUVCeynn Оценка влияния на безопасность: Высокий CVE: CVE-2024-20323