記事本文(要約)
シスコは、クリティカルな脆弱性CVE-2024-20439に対するパッチ適用を管理者に警告しています。この脆弱性は、シスコのスマートライセンシングユーティリティ(CSLU)におけるバックドア管理者アカウントの存在に起因し、現在攻撃に利用されています。CSLUはWindowsアプリであり、シスコのクラウドソフトウェアマネージャーに接続せずにライセンスを管理します。脆弱性が影響するのはCSLUの脆弱なリリースが稼働しているシステムのみで、CSLUアプリが手動で起動されなければ攻撃されません。この脆弱性は、2025年3月に野放しで悪用され始めたと報告されており、シスコは修正されたソフトウェアへのアップグレードを顧客に強く推奨しています。
さらに、この脆弱性は、CVE-2024-20440というCLS情報漏洩脆弱性と組み合わせて攻撃されています。CVE-2024-20440は、攻撃者が特殊なHTTPリクエストを送信し、感度の高いデータを含むログファイルにアクセスできる脆弱性です。
CISAは、CVE-2024-20439を既知の悪用脆弱性カタログに追加し、米国連邦機関に対して4月21日までにシステムの保護を義務付けています。シスコ製品からバックドアアカウントを削除するのはこれが初めてではなく、過去にもIOS XEやWAASなどにハードコードされた資格情報が見つかっています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 02 Apr 2025 09:19:06 -0400
Original URL: https://www.bleepingcomputer.com/news/security/cisco-warns-of-cslu-backdoor-admin-account-used-in-attacks/
詳細な技術情報
- CVE番号と概要
- CVE番号: CVE-2024-20439
- 概要: この脆弱性は、Cisco Smart Licensing Utility (CSLU)に存在する非公開の静的な管理者アカウントを利用するものであり、このアカウントを通じて攻撃者が認証されることなく、システムへ管理者権限でリモートログインできるというものです。
- CVE番号: CVE-2024-20439
- 脆弱性の仕組み
- バックドアアカウント: Cisco Smart Licensing Utilityにおいて「未公開の静的ユーザ資格情報」が存在しており、これが不正に利用されることで、攻撃者が管理者権限を持ってシステムにアクセスできる。
- 影響範囲: 脆弱なCSLUリリースを実行しているシステムのみが影響を受けるが、CSLUアプリが起動された状態でのみ攻撃が可能。
- 攻撃手法
- 初期攻撃ベクトル: 攻撃者は、バックドアアカウントを利用して、未パッチのシステムにリモートでログインする。
- チェイン攻撃(連鎖攻撃): 攻撃者は、CVE-2024-20439と連携して、情報漏えいの脆弱性(CVE-2024-20440)も利用し、細工されたHTTPリクエストを送信して、API認証情報を含むログファイルにアクセスする。
- 潜在的な影響
- データの不正アクセス: 攻撃者は、管理者権限を利用してシステムを完全に制御でき、機密情報へのアクセスや改ざん、さらに他のシステムへの移動も可能。
- 組織全体のセキュリティリスク: 特に、連鎖攻撃により、他のシステムやネットワーク全体に悪影響が及ぶ危険性がある。
- 推奨される対策
- 1. ソフトウェアのアップグレード: Ciscoが提供する修正済みのソフトウェアリリースにアップデートを直ちに行う。これは最も効果的かつ迅速に脆弱性を解消する方法である。
- 2. CSLUアプリの適切な管理: 必要な場合にのみアプリを起動し、不要時には停止することで攻撃のリスクを低減する。
- 3. ネットワークアクセス制限の強化: CSLUインスタンスが公に露出しないように、ネットワークアクセス制限を設定し、外部からの不正アクセスを防ぐ。
- 4. ロギングと監視: システムのアクセスログを定期的に監視し、異常な活動がないかを監視する。
- 5. パスワード管理の強化: 静的クレデンシャルの利用を避け、動的で管理可能な認証方法に移行する。
