Cisco Smart Licensing Utility Vulnerabilities Under Hacker Exploitation
Cisco Smart Licensing Utility Vulnerabilities Under Hacker Exploitation
Recent reports indicate that hackers are actively trying to exploit two critical vulnerabilities in the Cisco Smart Licensing Utility.
gbhackers.com
Exploit Attempts for Cisco Smart Licensing Utility CVE-2024-20439 and CVE-2024-20440 - SANS Internet Storm Center
Exploit Attempts for Cisco Smart Licensing Utility CVE-2024-20439 and CVE-2024-20440, Author: Johannes Ullrich
isc.sans.edu
U.S. CISA adds Cisco Smart Licensing Utility flaw to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Cisco Smart Licensing Utility flaw to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Cisco Smart Licensing Utility vulnerability to its Known Exploited Vulnerabilities catalog.
securityaffairs.com
- 주요 취약점 개요
- CVE-2024-20439: Cisco Smart Licensing Utility의 정적 관리자 자격 증명(static credential) 존재로 인해 인증되지 않은 공격자가 API를 통해 관리자 권한 획득 가능
- CVE-2024-20440: 과도한 로깅으로 인해 민감 정보가 포함된 로그 파일 노출 발생 가능, 앞선 정적 자격 증명 취약점과 연계되어 정보 유출 위협 심화
- 두 취약점은 Cisco SLCU(스마트 라이선싱 유틸리티) 서비스에 존재하며, 최신 버전 패치 이전의 시스템에서 광범위한 위험 존재
- 실제 악용 현황
- SANS Institute에 따르면, 해당 취약점이 포함된 백도어 자격 증명 정보가 공개된 이후 악용 시도 급증
- 공격자들이
/cslu/v1/scheduler/jobsAPI 엔드포인트로 인증 우회 접근 시도- 예:
Authorization: Basic Y3NsdS13aW5kb3dzLWNsaWVudDpMaWJyYXJ5NEMkTFU=→cslu-windows-client:Library4C$LU
- 예:
- 일부 공격자는 DVR 장비 취약점(CVE-2024-0305) 가능성이 있는
/classes/common/busiFacade.php에 대해 추가적인 스캔도 진행- 인증 헤더에서
helpdeskIntegrationUser:dev-C4F8025E와 같은 정적 자격 증명 확인됨
- 인증 헤더에서
- 보안 위협 및 악용 가능성
- 공격자는 CVE-2024-20439을 통해 관리자 권한 획득 후, CVE-2024-20440을 활용해 로그 파일 내 민감 정보 탈취 가능
- 공격자 식별 없이 익명 접근 가능, 광범위한 자동화 공격 시도 포착
- SLCU와 같은 엔터프라이즈 소프트웨어와 저가형 IoT 장비 모두에서 유사한 기본 보안 허점(정적 크리덴셜, 로그 노출) 공유
- 미국 CISA 조치 사항
- CVE-2024-20439를 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재
- Binding Operational Directive(BOD) 22-01에 따라 2025년 4월 21일까지 연방기관이 해당 취약점에 대한 조치를 완료해야 함
- 민간 기업에도 동일한 수준의 취약점 점검 및 패치 적용을 권고
- 보안 권고
- 최신 보안 패치 적용 필수: Cisco 제공 보안 업데이트 통해 두 취약점 해결
- API 로그 모니터링 강화:
/cslu/v1엔드포인트 접근 기록 정밀 점검 - 정적 자격 증명 제거 및 강력한 인증 정책 도입
- 공격 탐지 시스템에 CVE 관련 시그니처 적용 및 PoC 스크립트 기반 침해 여부 점검
- 취약 구성 파일 존재 여부 점검:
/web.config.zip,/busiFacade.php등
- 결론
- 정적 자격 증명 및 과도한 로그는 고급 네트워크 솔루션에서도 발생 가능한 보안 결함
- 공개된 자격 정보 기반 자동화 공격이 확산되는 만큼, 기업은 신속한 패치 적용과 계정 보안 정책 강화가 필수
- KEV 카탈로그에 등재된 취약점은 활발한 실제 공격이 존재함을 의미, 경고 수준을 넘어 즉각적인 대응이 요구됨
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA, Edimax·NAKIVO·SAP NetWeaver 취약점 KEV 목록 추가 (0) | 2025.05.03 |
|---|---|
| mySCADA myPRO 취약점 분석 및 산업제어시스템 위협 대응 방안 (0) | 2025.05.02 |
| CISA, Fortinet 및 GitHub Action 취약점 KEV 목록 추가 및 랜섬웨어 연계 경고 (0) | 2025.05.02 |
| 위협 행위자의 주요 무기로 부상한 VPN 취약점 악용 동향 (0) | 2025.05.02 |
| Windows File Explorer 취약점(CVE-2025-24071) 통한 NTLM 해시 탈취 및 네트워크 스푸핑 경고 (0) | 2025.05.02 |