Researcher Details CVE-2024-20439 (CVSS 9.8) Flaw in Cisco Smart Licensing Utility
2024/09/23 SecurityOnline — Cisco Smart Licensing Utility (CSLU) に影響を及ぼす深刻な脆弱性 CVE-2024-20439 (CVSS:9.8) の詳細を、Hewlett Packard Enterprise 子会社である Aruba の脅威研究者 Nicholas Starke が公表した。この脆弱性の悪用に成功した未認証のリモート攻撃者は、静的な管理資格情報を介して管理者アクセス権の取得を達成するため、CSLU に依存している企業にとって大きな脅威が生じる。
この脆弱性は、CSLU (Cisco Smart Licensing Utility) に埋め込まれた、文書化されていない静的ユーザー認証に起因する。この欠陥を悪用する攻撃者は、事前に設定された静的パスワードを用いて管理者権限を不正に取得し、CSLU API へのログインを可能にする。この種のアクセスを達成した攻撃者は、アプリケーションを制御しライセンス・データの操作を行い、さらには、ネットワーク内での攻撃の足がかりとしたシステムの悪用を可能にするため、壊滅的な結果を引き起こす可能性を手にする。
Nicholas Starke は、「CLMU の脆弱なバージョンを詳細に調査し、ハードコードされた管理者パスワード (Library4C$LU) を発見した。このアプリケーションの Windows/Linux バージョンを調査した結果として、API の認証メカニズムに組み込まれている問題のパスワードが、バージョン 2.0.0~2.2.0 に存在することが判明した」と述べている。
さらに Nicholas Starke は、Ghidra の Golang エクステンションなどの高度な逆コンパイル・ツールを活用し、すべてのネットワーク・インターフェース上で、デフォルトとして動作する、CSLU API 内のパスワードの正確な位置を特定した。このコンフィグレーションを用いる攻撃者が、リモートで API にアクセスし、ユーザー認証を必要とすることなくリクエストを実行する可能性が生じるため、脆弱性 CVE-2024-20439 は極めて危険なものとなる。
この脆弱性は、Cisco Smart Licensing Utility バージョン 2.0.0/2.1.0/2.2.0 に影響を及ぼすが、バージョン 2.3.0 では問題が発生しない。また、このユーティリティの API は、デフォルトで全ネットワーク・インターフェイスを監視しているため、ネットワーク経由でホストマシンに到達できる誰もがアクセス可能となる。そこには、攻撃者も含まれるため、この問題は特に深刻である。
すでに Cisco は、この脆弱性に対処するソフトウェア・アップデートをリリースし、修正リリースへの早急なアップグレードを、ユーザーに対して呼びかけている。なお、この欠陥に対処する回避策は、現時点においては存在しない。
つい先日の 2024/09/04 にも、関連記事として「Cisco SLU の脆弱性 CVE-2024-20439/20440 (CVSS:9.8) がFIX:直ちにアップデートを!」をポストしています。とても重要なコンポーネントの脆弱性ですので、ご利用のチームは、十分に ご注意ください。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.