Cisco Firepower の脆弱性 CVE-2024-20412 が FIX:ハードコード・パスワードの問題

CVE-2024-20412: Unauthorized Access to Cisco Firepower Devices via Static Credentials

2024/10/23 SecurityOnline — 先日に Cisco が公開したのは、Firepower Threat Defense (FTD) ソフトウェアに存在する、深刻な脆弱性に関するセキュリティ・アドバイザリである。脆弱性 CVE-2024-20412 (CVSS:9.3) が悪用されると、Firepower 1000/2100/3100/4200 シリーズ・デバイスを使用する組織に、重大なリスクが生じる恐れがある。この脆弱性の悪用に成功した未認証のローカル攻撃者は、システムに埋め込まれた静的認証情報の悪用を達成し、不正アクセスやコンフィグ改竄の可能性を得る。

この問題のコアは、影響を受ける Cisco Firepower システム内に存在する静的アカウントが、ハードコードされたパスワードを持つところにある。これらのアカウントにより、ローカル・アクセス権を持つ攻撃者は認証手段をバイパスし、静的認証情報を悪用してデバイスの CLI (command-line interface) にログインできる。この認証バイパスを達成した攻撃者は、限定された範囲でのコマンド実行や、機密情報の取得を可能にし、さらにはコンフィグ・オプションを改竄することで、デバイスを起動不能にすることも可能にする。

Cisco のアドバイザリには、「これらの認証情報を悪用して、影響を受けるデバイスの CLI にログインした攻撃者は、さまざまな攻撃を仕掛けることが可能になる。最悪のシナリオでは、侵害されたデバイスにおける正規の操作が完全に破壊され、再イメージ化が必要になる場合もある」と記されている。

この脆弱性は、VDB (vulnerability database) リリース 387 以前の、FTD ソフトウェア・リリース 7.1〜7.4 を実行している、Cisco Firepower デバイスに影響を及ぼす。影響を受けるモデルは次のとおりである。

  • Firepower 1000 シリーズ
  • Firepower 2100 シリーズ
  • Firepower 3100 シリーズ
  • Firepower 4200 シリーズ

管理者が行うべきことは、show local-user コマンドを使用して、静的アカウントの存在を確認することで、デバイスが危険性を判断することだ。その出力結果には、csm_processes/report/sftop10user/Sourcefire/SRU などのアカウントの存在が示され、デバイスの脆弱性も示される。

さらに Cisco が推奨するのは、これらの静的アカウントへの、最近のアクセスの有無を判断するためのコマンドの使用である。以下のコマンドを使用することで、成功しているログインを、管理者は確認できる:

zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages*

すでに Cisco は、脆弱性 CVE-2024-20412 に対処するための、ソフトウェア・アップデートをリリースしている。FTD ソフトウェアのユーザーに対して強く推奨されるのは、ただちに修正リリースへとアップグレードすることだ。すぐにパッチを適用できない場合には、Cisco が提供する回避策の適用が推奨される。この回避策には、ローカル・アクセスの制限と SSH コンフィグの管理が含まれる。

この情報が公開された時点で、Cisco PCIRT は、脆弱性 CVE-2024-20412 に対する攻撃は確認されていないと報告している。ただし、この欠陥の重大性を考慮すると、ネットワークを保護するための緩和策を、組織として優先する必要があるだろう。

Cisco Firepower に脆弱性 CVE-2024-20412 が発見されました。原因は、ハードコード・パスワードとのことです。ご利用のチームは、十分に ご注意ください。Cisco Firepower に関連する直近の記事は、2024/07/28 の「Cisco 製品の RADIUS プロトコル の脆弱性:PoC の提供と迅速なパッチ適用の必要性!」です。よろしければ、Cisco Firepower で検索と併せて、ご参照ください。

Cisco has recently published a security advisory regarding a critical vulnerability in its Firepower Threat Defense (FTD) software. This vulnerability, identified as CVE-2024-20412, presents a significant risk to organizations using Cisco’s Firepower 1000, 2100, 3100, and 4200 Series devices. With a CVSS score of 9.3, this vulnerability allows unauthenticated, local attackers to exploit static credentials embedded in the system, potentially leading to unauthorized access and configuration changes.

The core issue lies in the presence of static accounts with hard-coded passwords within the affected Cisco Firepower systems. These accounts enable an attacker with local access to bypass authentication measures and log into the device’s command-line interface (CLI) using static credentials. Once authenticated, the attacker can execute limited commands, retrieve sensitive information, or even cause the device to become unbootable by modifying certain configuration options.

According to the Cisco advisory, “an attacker could exploit this vulnerability by logging in to the CLI of an affected device with these credentials.” In the worst-case scenario, this could lead to a complete disruption of operations, requiring a reimage of the compromised device.

The vulnerability impacts Cisco Firepower devices running FTD Software Release 7.1 through 7.4, with a vulnerability database (VDB) release of 387 or earlier. The affected models include:

  • Firepower 1000 Series
  • Firepower 2100 Series
  • Firepower 3100 Series
  • Firepower 4200 Series

Administrators can determine whether their devices are exposed by checking for the presence of static accounts using the show local-user command. The output will reveal the presence of accounts like csm_processes, report, sftop10user, Sourcefire, and SRU, which signal the device’s vulnerability.

Cisco also advises using specific commands to determine if these static accounts have been accessed recently. The following command allows administrators to check for any successful logins:

zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages*

Cisco has released software updates to address CVE-2024-20412 and strongly advises users to upgrade their FTD software to a fixed release. In cases where immediate patching is not possible, Cisco has provided a workaround to reduce the risk. This workaround involves restricting local access and managing SSH configurations.

At the time of publication, Cisco’s Product Security Incident Response Team (PSIRT) has reported that “there are no public announcements or malicious use of the vulnerability” described in this advisory. However, given the critical nature of the flaw, organizations should prioritize mitigation efforts to safeguard their networks.