Cisco曝超严重漏洞，黑客可修改管理员密码；

近日，思科公司披露了其智能软件管理器本地版（SSM On-Prem）中的一个关键漏洞，该漏洞允许未经身份验证的远程攻击者更改任何用户的密码，包括管理员用户的密码。这个漏洞被追踪为 CVE-2024-20419，其严重程度评分为 10 分。

据悉，该漏洞是由于思科 SSM On-Prem 认证系统中密码更改过程执行不当造成的。

攻击者可以通过向受影响的设备发送特制的 HTTP 请求来利用这个漏洞。成功利用将允许攻击者以受影响用户的权限访问 Web UI 或 API，从而在未经授权的情况下对设备进行管理控制。

受影响的产品

• 思科 SSM On-Prem
• 思科智能软件管理器卫星版（SSM Satellite）

思科 SSM 卫星版已更名为思科智能软件管理器。对于 7.0 版本之前发布的版本，该产品称为思科 SSM 卫星版。从 7.0 版本开始，它被称为思科 SSM On-Prem。
已修复的软件

思科已发布软件更新来解决此漏洞。修复的版本如下：

思科建议所有客户升级到修复版本以降低风险，保护其系统安全。
截至目前，尚未有公开的公告或证据表明此漏洞被恶意利用，思科的产品安全事件响应团队（PSIRT）将继续监控这一情况。
另外，拥有服务合同的客户应通过其常规更新渠道获得安全修复程序，没有服务合同的客户可以联系思科技术援助中心（TAC）以获得必要的更新。
如何检查思科智能软件管理器本地版的版本

访问管理门户

打开一个 Web 浏览器，输入思科 SSM On-Prem 服务器的 IP 地址和端口号。例如，如果 IP 地址是 172.16.0.1，则输入：https://172.16.0.1:8443/admin

登录

使用管理员凭据登录管理门户。

查找系统运行状况部分

登录后，导航到管理门户的「系统运行状况」部分。此部分通常显示的是思科 SSM On-Prem 安装的当前软件发布版本。

涉周杰伦、陈奕迅演唱会！诈骗数额超百万元！一男子获刑

近年来，演唱会热度居高不下，

一些热门明星的演唱会

常常出现“一票难求”的场面

甚至有没有买到门票的粉丝，

愿意“一掷千金”购买黄牛票，

然而其中乱象也层出不穷……

近期，上海市黄浦区人民法院审结了一起涉演唱会诈骗案，不法分子宣称其有特殊渠道，可以远低于市场价买到周杰伦、陈奕迅演唱会门票，诈骗数额高达110余万元——

丁某某长期无业，但沉迷于酒吧等高消费场所。为了能够维持自己日常高额支出，便动起了歪脑筋，向身边朋友宣称自己有渠道购买热门明星的演唱会门票。

2023年6月起，陆续有朋友向丁某某购买演唱会门票。丁某某将票价收入后，再找“黄牛”高价购买小部分的门票，将自己包装成了“有资源”的代购。

于是，在朋友的介绍下，越来越多的人开始找丁某某购买门票，他预支被害人的钱款进行个人消费，仅仅兑现了部分门票。

这种“高价买入低价卖出”的方式无法维持周转。今年2月起，部分被害人发现丁某某无法兑现演唱会门票，在协商退款时丁某某又无法退还钱款。最终，其中一名被害人选择了报警。丁某某在原地等待警察到来并如实供述犯罪行为，符合自首的构要条件。

经查明，被告人丁某某先后骗取13名被害人人民币110余万元，其中一位被害人被骗50余万元。丁某某其间返还了部分被害人钱款，实际诈骗数额共计100余万元，均被其用于个人消费及偿还债务。

丁某某在审查起诉阶段自愿签署认罪认罚具结书。

人民法院审理后认为

被告人丁某某以非法占有为目的，骗取对方财物，数额特别巨大，其行为已触犯刑律，应以诈骗罪追究其刑事责任。被告人具有自首、自愿认罪认罚等减轻、从宽情节，黄浦区人民法院以诈骗罪判处被告人丁某某有期徒刑九年，并处罚金人民币十万元；违法所得，责令退赔，发还各被害人。

一审判决生效后，公诉机关未提出抗诉，被告人未提出上诉，案件已生效。

随着时代的发展，越来越多的人选择线上交易的方式购买商品，如演唱会门票、游戏账号等，这也给犯罪分子可乘之机。一些犯罪分子打着“低价购买”的幌子，吸引消费者通过个人微信、QQ等方式进行交易，在得手后将钱款肆意挥霍，最终无力返还钱款或给付商品。

一、消费者应通过正规途径购买门票。

现如今，演唱会门票在“炒作”下滋生了大批“黄牛”利用各种手段囤积门票“高价倒卖”，造成了一定市场乱象。犯罪分子正是抓住了这种迫切购票的心理，以低价购买、保证买到等宣传手段施行诈骗行为。

消费者通过线上交易的方式购买商品时，必须选择正规的平台、合法的渠道。无论是虚拟商品或实体商品，都不要轻信所谓有低价购买的途径，而通过私下交易的方式进行。

二、相关部门应加强管理，遏制乱象。

相关部门应对“黄牛”乱象实施进一步预防和打击，切实规范票务市场秩序，压缩“黄牛”倒卖门票生存空间。例如，对网络平台进行实时、动态监管，针对可疑账号进行在线交易时，及时对相对方进行监管预警和止付通知，减少损害结果的发生；同时，也应对消费者进行多渠道、多方面、多维度的网络诈骗宣传。

文章来源 ：freebuf、上海黄浦法院

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍