記事本文(要約)
攻撃者が、未修正のCisco Smart Licensing Utility (CSLU)にある脆弱性を利用し、組み込みのバックドア管理者アカウントを狙った攻撃を開始しました。この脆弱性(CVE-2024-20439)は、未認証の攻撃者がCSLUアプリのAPIを通じてシステムに管理者権限でリモートログインできるものです。また、CVE-2024-20440は、攻撃者がログファイルに含まれるAPI認証情報などの機密データにアクセスできる情報漏洩の脆弱性です。
これらの脆弱性は、ユーザーがCSLUアプリを開始した場合のみ悪用可能です。Arubaの研究者Nicholas Starkeがこれらの脆弱性を解析し、技術的な詳細を公開しました。攻撃者はこれら2つの脆弱性を連鎖的に利用してCSLUインスタンスを攻撃していますが、攻撃の最終目的は不明です。Ciscoはこれまでに他製品でもバックドアアカウントを削除したことがありますが、今回はその延長線上の事象とされています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 20 Mar 2025 15:05:09 -0400
Original URL: https://www.bleepingcomputer.com/news/security/critical-cisco-smart-licensing-utility-flaws-now-exploited-in-attacks/
詳細な技術情報
- CVE番号と脆弱性の仕組み
- 1. CVE-2024-20439: この脆弱性は、Cisco Smart Licensing Utility (CSLU)に存在する「未公開の静的なユーザー資格情報」を利用するもので、このアカウントを通じて認証されていない攻撃者が管理権限でシステムにリモートアクセスできる問題です。
- 2. CVE-2024-20440: この脆弱性は、攻撃者が特別に作成されたHTTPリクエストを使用して、CSLUの脆弱なデバイスからAPI資格情報を含むログファイルなどの機密データにアクセス可能にする情報漏洩の問題です。
- 脆弱性の攻撃手法
- 脆弱なCSLUのインスタンスに対し、攻撃者はCVE-2024-20439を利用してバックドアアカウントを通じて管理権限を得ます。
- 次に、CVE-2024-20440を利用してログファイルを取得し、システム内のさらなる機密情報を取得します。
- これらの脆弱性は、CSLUアプリケーションが手動で起動された場合にのみ影響を及ぼします。
- 潜在的な影響
- 攻撃者がシステムの完全な管理権限を取得することで、システムの操作、データの搾取、さらに他の脆弱性を悪用した攻撃の足掛かりを作る可能性があります。
- システムのライセンス情報や関連データの漏洩により、ビジネス運営に直接的な影響が出る可能性があります。
- 推奨される対策
- 1. パッチの適用: Ciscoが提供する最新のセキュリティパッチを至急適用し、未修正のCSLUバージョンを修正してください。
- 2. アクセス管理の強化: システムへのアクセスを制限し、インターネット上にCSLUが直接公開されないように防御するネットワーク構成を行います。
- 3. 監視とログ管理: 不審なアクセスやシステムログを定期的に監視し、異常な活動を早期に発見する体制を構築します。
- 4. バックアップと復旧計画: データの損失や攻撃に対するバックアップと迅速な復旧計画を策定し、実施可能な状態に維持します。
- 追加情報
- Ciscoのセキュリティアドバイザリーは、この攻撃が実際に行われた証拠はまだ見つかっていないとしていますが、潜在的なリスクを考慮して迅速に対応することを推奨します。
- 同様のバックドアアカウントの問題は過去にもCisco製品で報告されているため、他のCisco製品も含めてセキュリティ設定の見直しが必要です。
