シスコ、CSLUのバックドア管理者アカウントが攻撃で使われていることについて警告（CVE-2024-20439、CVE-2024-20440）

nosa

2025.10.21

シスコ、CSLUのバックドア管理者アカウントが攻撃で使われていることについて警告（CVE-2024-20439、CVE-2024-20440）

BleepingComputer – April 2, 2025

シスコは1日、ライセンスリンクされた製品をオンプレミスで管理するWindowsアプリCisco Smart Licensing Utility（CSLU）の重大な脆弱性が攻撃に利用されたことを受け、この欠陥を直ちに修正するよう警告した。

この静的認証情報の脆弱性（CVE-2024-20439）は認証されていない攻撃者がCSLUのAPIを介し、管理者権限でパッチ未適用のシステムにリモートでログインできるようになるもの。2024年9月に修正されているが、今年3月に悪用試行が確認されたため、4月1日にセキュリティアドバイザリが更新された。影響を受けるのは脆弱なCSLUを実行しているシステムだけで、同アプリ（デフォルトではバックグラウンドで実行されない）が起動された場合にのみ悪用可能になるという。

シスコは攻撃に関する詳細を明らかにしていないが、先月にはSANS Technology Instituteの研究者が組み込みのバックドア管理者アカウントを使ってネット上に露出したCSLUインスタンスを攻撃する事例を発見しており、CVE-2024-20439にCVE-2024-20440（CSLUにおける情報漏洩の重大な脆弱性）を連鎖させていると報告していた。後者を悪用すると、認証されていない攻撃者は細工したHTTPリクエストを脆弱なデバイスに送信することで、API認証情報などの機微データを含むログファイルにアクセスできるとされる。

米CISAは先月末、CVE-2024-20439をKEVカタログに追加すると共に、4月21日までの3週間以内にシステムを保護するよう連邦政府各機関に指示した。シスコでは近年に同様の組み込みバックドアアカウントの問題が相次いで発覚しており、IOS XEやWide Area Application Services（WAAS）、Digital Network Architecture（DNA）Center、そしてEmergency Responderソフトウェアでハードコードされた認証情報の使用に関する脆弱性が見つかっている。