Attackers are leveraging Cisco Smart Licensing Utility static admin credentials (CVE-2024-20439)
2025/04/03 HelpNetSecurity — 2025年3月31日の時点で CISA は、Cisco Smart License Utility Manager (CSLU) における静的認証情報の脆弱性 CVE-2024-20439 が、攻撃者により悪用されていることを確認し、KEV (Known Exploited Vulnerabilities) カタログに追加した。Cisco サイドも、CSLU ソフトウェアの情報漏えいの脆弱性である、 CVE-2024-20439 と CVE-2024-20440 のセキュリティ・アドバイザリを更新することで、この問題に対応した。同社は、「2025年3月の時点で、Cisco PSIRT (Product Security Incident Response Team) は、この脆弱性に対する悪用の試行を確認した」と述べている。
CISA と Cisco による一連の対応は、SANS Technology Institute の Dean of Research である Johannes Ullrich が、CVE-2024-20439 の悪用試行を報告してから2週間後のことだった。おそらく、その時に、CVE-2024-20440 についても報告が行われたと推測される。
CVE-2024-20439/CVE-2024-20440 について
Cisco Smart License Utility Manager (CSLU) は、Cisco の顧客が自社内の施設において、ライセンスとインスタンスを管理するために用いる、Windows/Linux 向けのアプリケーションである。
2024年9月初旬に Cisco は、脆弱性 CVE-2024-20439/ CVE-2024-20440 について情報を公開し、それらを修正するためのバージョン 2.3.0 をリリースした。回避策は存在しないため、顧客に対してアップグレードが促された。
Cisco は、「脆弱性 CVE-2024-20439 を悪用する未認証のリモート攻撃者は、静的な管理者認証情報を用いて、標的とするシステムへのログインを達成する。この攻撃に成功した攻撃者は、Cisco Smart Licensing Utility の API を介して、影響を受けるシステムへの管理者権限ログインの可能性を得る」と説明している。
その一方で、脆弱性 CVE-2024-20440 は、影響を受けるデバイスへ向けて細工された HTTP リクエストを送信する、未認証のリモート攻撃者に対して、ログ・ファイルおよび API 認証情報などの機密データの取得を許すものだ。
この攻撃の前提として、CSLU がアクティブに実行されている場合にのみ、この欠陥の悪用が可能だという側面がある。ただし、これらの脆弱性を連鎖させずに、単独でも悪用が可能だという側面もある。
2024年9月下旬の時点で、セキュリティ研究者の Nicholas Starke が、脆弱性 CVE-2024-20439 と静的な管理者認証情報に関する記事を公開したが、他のセキュリティ研究者たちが、その悪用の試みに気付いたのは、2025年3月になってからだった。
何をすべきか?
これらの悪用の試みの成功/失敗については不明であるが、CISA KEV に CVE-2024-20439 が取り込まれたことから、少なくとも、いくつかは成功したと考えられる。
CISA は米国連邦政府機関に対して、ベンダーの指示に従い、4月21日までに緩和策を適用するよう指示している。もし、緩和策が利用できない場合には、この製品の使用を中止する必要がある。
Cisco CSLU を使用している民間組織に対しても、修正バージョンへのアップグレードが強く推奨される。
研究者による報告から実際の悪用が確認されるまで、約半年間もの空白期間が生じていたというはなしです。たとえ PoC が公開されていない脆弱性であっても、「まだ悪用されていないから大丈夫」と油断するべきではないのでしょう。ご利用のチームは、十分にご注意ください。なお、これらの脆弱性に関する過去の記事一覧は、以下のとおりです。よろしければ、以下の関連記事も、CISA KEV ページと併せてご利用ください。
2025/04/01:Cisco CSLU の CVE-2024-20439 が CISA KEV に登録
2025/03/20:Cisco CSLU の CVE-2024-20439 などの悪用を観測
2024/09/04:Cisco SLU の CVE-2024-20439/20440 がFIX
IoT OT Security News 
You must be logged in to post a comment.