Cisco Smart Licensing Utility の積極的な悪用を観測:2024年9月の CVE-2024-20439/20440

Cisco Smart Licensing Utility Vulnerabilities Under Hacker Exploitation

2025/03/20 gbhackers — 最近の報告によると、Cisco Smart Licensing Utility の2つの深刻な脆弱性の、ハッカーたちによる積極的な悪用試行が観測されているようだ。それらの脆弱性は、2024年9月の時点で Cisco が公開した、CVE-2024-20439/CVE-2024-20440 である。1つ目の脆弱性は、静的な認証情報に関連する漏洩を生じ、2つ目の脆弱性は、過剰なログ記録に関連する漏洩を生じるという。

脆弱性の概要

CVE-2024-20439:Cisco Smart Licensing Utility の静的な認証情報の脆弱性

この脆弱性は、固定パスワードの使用に関係しており、攻撃者に対して、影響を受けるシステムへの不正にアクセスを許す可能性がある。このタイプの脆弱性は珍しいものではなく、製品のメンテナンスやトラブルシューティングの、バックドア機能に関連するものだ。

CVE-2024-20440:Cisco Smart Licensing Utility の情報漏洩の脆弱性

この脆弱性は、ログ・ファイルを介して想定外の高機密性の情報が漏洩する問題である。1つ目の脆弱性の悪用に成功した攻撃者は、これらのログ・ファイルへのアクセスを達成し、さらなるセキュリティ・リスクを引き起こすとされる。

エクスプロイトの試行とアクティビティ

SANS Institute のレポートによると、バックドアの認証情報などの関連する脆弱性の詳細は、2024年9月にアドバイザリがリリースされた直後に公開されているという。

なお、このエクスプロイト試行は、”/cslu/v1″ に存在する API エンドポイントに集中しているという。観察されたリクエストの1つには、以下のものが含まれる。

GET /cslu/v1/scheduler/jobs HTTP/1.1

Host: [redacted]:80

Authorization: Basic Y3NsdS13aW5kb3dzLWNsaWVudDpMaWJyYXJ5NEMkTFU=

Connection: close

このリクエストにおける、base64 でエンコードされた文字列は、”cslu-windows-client:Library4C$LU” にデコードされる。それは、以前の Nicholas Starke のブログ投稿で、デフォルトの認証情報として特定されていたものだ。

これらのエクスプロイトの背後にいるグループは、他の脆弱性も調査しており、その中には、”/web.config.zip” などのコンフィグ・ファイルのスキャンも含まれる。

さらにハッカーたちは、DVR 関連と思われる脆弱性 (おそらく CVE-2024-0305) もターゲットにしているが、正確な CVE は不明であるという。それらのエクスプロイトの試みには、異なる認証情報が必要になるという:

GET /classes/common/busiFacade.php HTTP/1.1

Host: [redacted]:80

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36

Authorization: Basic aGVscGRlc2tJbnRlZ3JhdGlvblVzZXI6ZGV2LUM0RjgwMjVFNw==

Content-Type: application/x-www-form-urlencoded

Connection: close

これらの認証情報は “helpdeskIntegrationUser:dev-C4F8025E” にデコードされる。

Cisco Smart Licensing Utility の脆弱性が浮き彫りにするのは、低コストの IoT デバイスとハイエンドのエンタープライズ・セキュリティ・ソフトウェアの双方が、多くの場合において、同様の基本的な脆弱性を共有しているという広範な問題である。

このような弱点を、ハッカーたちが悪用し続けるため、組織は警戒を怠らないようにすべきだ。具体的には、速やかにパッチを適用し、システムを保護することだ。

ユーザーへの推奨事項:
  • 更新とパッチ:すべてのソフトウェアとシステムが、最新のセキュリティ・パッチで更新されていることを確認する。
  • アクティビティの監視:システム・ログを定期的に監視し、異常なアクセス試行の有無を確認する。
  • 認証情報のセキュリティ保護:強力なパスワードを使用し、可能な限りデフォルトの認証情報の使用を避ける。

今日のサイバー環境に適応するためには、プロアクティブなセキュリティ対策を採用し、エクスプロイト・リスクを大幅に軽減する必要がある。

たびたび攻撃の標的になる Cisco 製品ですが、2024年9月に公開の Cisco Smart Licensing Utility の脆弱性が、悪用されているとのことです。ご利用のチームは、アップデートを、ご確認ください。なお、これらの脆弱性の第一報は、2024/09/04 の「Cisco SLU の脆弱性 CVE-2024-20439/20440 (CVSS:9.8) がFIX:直ちにアップデートを!」です。よろしければ、Cisco で検索と併せて、ご参照ください。