CISA Warns of Active Exploitation of Cisco Smart Licensing Utility Flaw
2025/04/01 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco Smart Licensing Utility (CSLU) に影響を及ぼす深刻度の高い静的クレデンシャルの欠陥である CVE-2024-20439 (CVSS:9.8) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。今回の CISA の対応は、実際の悪用が確認され、さらに、複数の脆弱性を連鎖させてシステムを侵害する、証拠が増えていることを受けてのものだ。
Cisco Smart Licensing Utility (CSLU) は、オンプレミスの Cisco 製品のライセンス管理のために設計された、Windows ベースのアプリケーションであり、Cisco Smart Software Manager (SSM) クラウドへの接続を不要にするものだ。
ライセンス・ワークフローに簡素化をもたらす CSLU だが、インターネットに公開され、パッチが適用されない脆弱性が存在する場合には、価値の高い攻撃対象領域を攻撃者に提供してしまう。
具体的に言うと、アプリケーション内に埋め込まれた、文書化されていないハードコード認証情報を悪用する未認証のリモート攻撃者が、完全な管理アクセスを取得できるという深刻な脆弱性である。
このバックドアのようなアクセスにより、CSLU の API に対する制御が許可された攻撃者により、コンフィグレーションの改竄や、ネットワーク内での横方向の移動などの、さらなる悪用が生じる恐れがある。
脆弱性 CVE-2024-20439 は単体でも危険なものであるが、CVE-2024-20440 との連鎖が試行されると、その影響は遥かに深刻なものとなる。このCVE-2024-20440 は情報漏えいの脆弱性であり、細工された HTTP リクエストを CSLU エンドポイントに送信する未認証のユーザーに対して、API 認証情報などの機密データの抽出を許すものである。すでに攻撃者たちは、実際の攻撃で2つの脆弱性を連鎖させ、未パッチのシステムにアクセスし、それらを悪用しているという。
Cisco は、「この2つのセキュリティ脆弱性は、ソフトウェア・コンフィグレーションに関係なく、脆弱な Cisco Smart Licensing Utility リリースを実行しているシステムに影響を及ぼす」と説明している。
2025年3月に SANS Technology Institute の研究者である Johannes Ullrich は、この2つの脆弱性を同時に悪用する攻撃者が、インターネットに公開されている CSLU インスタンスを標的にし始めたと報告している。
彼は、「このバックドアに関する認証情報も含めて、詳細がブログで公開されている。したがって、何らかの悪用アクションが観察されたとしても驚くべきものではない」と指摘している。
これらの悪用試行の最終目的は不明であるが、これらのインシデントの背後にいる脅威アクターが、Guangzhou Yingke Electronic 社製の DVR に影響を与える、情報漏洩の脆弱性 CVE-2024-0305 なども探索していると、研究者たちは指摘している。
幸いなことに、CSLU のデフォルトでは、バックグラウンドで実行が行われないため、これらの脆弱性の悪用の前提として、CSLU を手動で起動されたシステムが条件となる。ただし、インターネットに接続されたホストで起動された場合には、悪用の静かな入り口になる可能性がある。
この脆弱性は、次の CSLU バージョンに影響を及ぼす:
| Cisco Smart License Utility Release | First Fixed Release |
|---|---|
| 2.0.0 | Migrate to a fixed release. |
| 2.1.0 | Migrate to a fixed release. |
| 2.2.0 | Migrate to a fixed release. |
| 2.3.0 | Not vulnerable. |
アクティブな悪用が確認されたことで、CISA は全ての連邦文民行政部門 (FCEB) 機関に対して、2025年4月2 日までに必要なパッチを適用するように指示している。民間の組織においても、速やかな対応が強く推奨される。
Cisco CSLU の脆弱性 CVE-2024-20439 が、CISA KEV に登録されました。文中にもあるとおり、同製品の脆弱性である CVE-2024-20440 と連鎖させた悪用が観測されているとのことです。ご利用のチームは、パッチの適用を、お急ぎください。よろしければ、以下の関連記事も、CISA KEV ページと併せてご利用ください。
2025/03/20:Cisco CSLU の CVE-2024-20439 などの悪用を観測
2024/09/04:Cisco SLU の CVE-2024-20439/20440 がFIX
IoT OT Security News 
You must be logged in to post a comment.