Cisco Small Business Switches の RCE 脆弱性 CVE-2023-20159 などが FIX:直ちにパッチ適用を!

Cisco warns of critical switch bugs with public exploit code

2023/05/17 BleepingComputer — Cisco は 5月17日に、複数の Small Business Series Switches に影響を及ぼす4つの深刻なリモート・コード実行の脆弱性について、顧客に警告した。これらのセキュリティ脆弱性は、エクスプロイト・コードが公開されており、深刻度は CVSS スコア 9.8 と、ほぼ最大の評価を受けている。この脆弱性の悪用に成功した攻撃者は、侵害したデバイス上で認証を必要とすることなく、root 権限で任意のコードを実行できる。


これらの脆弱性 CVE-2023-20159/CVE-2023-20160/CVE-2023-20161/CVE-2023-20189 は、対象機器の Web インターフェースに送信されたリクエストの不適切な検証に起因するものである。

悪意を持って細工されたリクエストが、対象機器の Web ベースの UI を通じて送信されると、ユーザーとのインタラクションを必要としない低複雑度の攻撃で、これらの脆弱性が攻撃者に悪用されてしまう。Cisco は、「これらの脆弱性は相互に依存し合うものではないため、複数の脆弱性を悪用する必要がない。その一方で、いずれかの脆弱性の影響を受けるソフトウェアは、他の脆弱性の影響を受けない場合もある」と説明している。

影響を受ける機器は以下の通りだ:

  • 250 Series Smart Switches/350 Series Managed Switches/350X Series Stackable Managed Switches/550X Series Stackable Managed Switches (2.5.9.16 でFIX)
  • Business 250 Series Smart Switches/Business 350 Series Managed Switches (3.3.0.16 でFIX)
  • Small Business 200 Series Smart Switches/Small Business 300 Series Managed Switches/Small Business 500 Series Stackable Managed Switches (パッチは提供されない)

Small Business Switches 200/30/500 Series のファームウェアは、これらのデバイスが、すでにサポートの対象外になっているため、パッチは提供しないと Cisco は述べている。

また、Cisco Product Security Incident Response Team (PSIRT) は、これらの脆弱性に対して PoC エクスプロイト・コードが利用可能であることが明らかにされており、意欲的な脅威アクターによる積極的な悪用につながる可能性があるとしている。

5月17日に同社の PSIRT は、これらの脆弱性について、PoC エクスプロイト・コードが利用可能であると警告している。それにより、リモート・アクセスが可能な脆弱なデバイスを、脅威アクターたちは判別しやすくなっている。しかし、幸いなことに、Cisco の PSIRT は、この脆弱性を悪用した攻撃を示唆する痕跡は、現時点において発見されていないと述べている。

NCSC (NATO’s Cyber Security Centre) の Pierre Vivegnis の報告によると、Cisco は、Prime Collaboration Deployment (PCD) サーバ管理ツールの XSS (Cross-Site Scripting) の脆弱性についても、パッチ適用に取り組んでいるとのことだ。

米国/英国の両政府と Cisco は、最近に発表した共同アドバイザリにおいて、 ロシアの APT28 が Cisco IOS ルーターに対して、カスタム・マルウェアである Jaguar Tooth を展開し、侵害したデバイスに認証なしで不正アクセスを仕掛けていると警告している。

今回のレポートで解説されている脆弱性 CVE-2023-20159/CVE-2023-20160/CVE-2023-20161/CVE-2023-20189 ですが、いずれも Web ベースの UI に起因しているようです。また、ウクライナ侵攻に関連して、Cisco 製品の脆弱性が、ロシアの APT に攻撃されているようです。それが、グリーバルに飛び火しないことを願うばかりです。よろしければ、Cisco で検索も、ご利用ください。