Exploit released for Cisco SSM bug allowing admin password changes
2024/08/08 BleepingComputer — Cisco が警告しているのは、Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) に存在する脆弱性 CVE-2024-20419 (CVSS:10.0) に対して、PoC エクスプロイト・コードが公開されたことだ。脆弱性 CVE-2024-20419 の悪用に成功した攻撃者は、ライセンス・サーバ上の任意のユーザ・パスワードを変更することが可能になる。Cisco SSM On-Prem は、Cisco Smart Licensing のコンポーネントとして、ローカル・ネットワーク上の専用ダッシュボードを介して、組織の環境上のアカウントと製品ライセンスの管理を支援するものだ。
8月7日に更新したアドバイザリで Cisco PSIRT は、アドバイザリに記載されている脆弱性 CVE-2024-20419 について、PoC エクスプロイト・コードが利用可能であることを認めている。その一方で同社は、この脆弱性の悪用の形跡は、現時点では確認されていないとしている。
脆弱性 CVE-2024-20419 は、SSM On-Prem の認証システムに存在する、未検証のパスワード変更の欠陥に起因する。この欠陥により、認証されていない攻撃者は、元の認証情報を知らなくても、リモートで任意のユーザー・パスワード (管理者アカウントも含む) を変更することが可能になる。
2024年7月の時点で Cisco は、この脆弱性に対処するための、セキュリティ・アップデートをリリースしている。そして、その際に、「この脆弱性は、パスワード変更プロセスの不適切な実装に起因する。攻撃者は、影響を受けるデバイスに細工した HTTP リクエストを送信することで、この脆弱性を悪用できる。悪用に成功した攻撃者は、侵害したユーザーの権限で、Web UI や API にアクセスできるようになる」と説明している。
同じく 7月に Cisco は、悪意の添付ファイル付きの電子メールを使用して、攻撃者が root 権限で新規ユーザーを追加し、Security Email Gateway (SEG) アプライアンスを永続的にクラッシュさせることが可能な、深刻な脆弱性 CVE-2024-20401 に対するパッチを適用している。さらに、4月以降においては、脆弱な MDS/Nexus スイッチに root 権限で未知のマルウェアをインストールするために悪用された、NX-OS のゼロデイ脆弱性 CVE-2024-20399 の修正も行っている。
文中でも指摘されているように、この脆弱性 CVE-2024-20419 に関する第一報は、2024/07/17 の「Cisco SSM On-Prem の脆弱性 CVE-2024-20419 が FIX:パスワード改ざんの恐れ」となっています。その時の記事では、「回避策が存在しないため、最新のリリースへのアップグレードが必要」と記されていました。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.