Cisco urges admins to fix IOS software zero-day exploited in attacks
2023/09/28 BleepingComputer — 9月27日 (水) に Cisco は、攻撃者に狙われている IOS/IOS XE ソフトウェアのゼロデイ脆弱性にパッチを当てるよう顧客に警告した。Cisco Advanced Security Initiatives Group (ASIG) の X. B. により発見された、この脆弱性 CVE-2023-20109 (深刻度 Medium) は、GET VPN 機能の Group Domain of Interpretation (GDOI) および G-IKEv2 プロトコル内における、不十分な属性検証に起因するものだ。
幸いなことに、潜在的な攻撃者が鍵サーバまたはグループ・メンバーの管理者権限を持っていることが、この悪用を成功させるための要件となる。ただし、この鍵サーバとグループ・メンバーの間の全ての通信は暗号化され、認証が行われるため、上記の要件を満たす攻撃者は、すでに環境に侵入していることを意味する。
Cisco のアドバイザリには、「攻撃者は、インストールされている鍵サーバを侵害するか、グループメンバーの設定を変更して、攻撃者がコントロールする鍵サーバを指すようにすることで、この脆弱性を悪用できる。悪用に成功した攻撃者は、任意のコードを実行し、影響を受けるシステムを完全に制御できるようになる。また、影響を受けるシステムをリロードさせ、サービス拒否 (DoS) 状態を引き起こす可能性がある」と記されている。
このゼロデイ脆弱性は、GDOI/G-IKEv2 プロトコルが有効化されている、脆弱な IOS/IOS XE ソフトウェアを実行している、すべての Cisco 製品に影響する。ただし、Meraki 製品群および IOS XR/NX-OS ソフトウェアを実行している製品は、脆弱性 CVE-2023-20109 を悪用する攻撃にはさらされない。
野放し状態のエクスプロイト
この脆弱性の悪用を成功させるためには、ターゲット環境への広範なアクセスが必要であるが、同社のアドバイザリでは、すれに脅威アクターたちが、この脆弱性を狙った攻撃を開始していることが明らかにされている。
具体的な記述は、「Cisco は、GET VPN 機能の悪用の試みを発見し、同機能のテクニカル・コード・レビューを実施した。この脆弱性は内部調査中に発見された。Cisco は引き続き、この脆弱性を修正したソフトウェア・リリースにアップグレードすることを強く推奨している」という部分である。
同日に Cisco は、Catalyst SD-WAN Manager ネットワーク管理ソフトウェアの SAML (Security Assertion Markup Language) APIに存在する、深刻な脆弱性に対するセキュリティ・パッチを発行している。
この脆弱性の悪用に成功した未認証の攻撃者は、リモートから任意のユーザーとして、Catalyst SD-WAN に不正アクセスできるようになる。
昨日である 9月27日には、「日米の共同勧告:中国の APT BlackTech が Cisco ルーターをバックドアにしている」という記事がポストされており、Cisco の周辺が、ちょっとザワついているという感じです。この、脆弱性 CVE-2023-20109 の CVSS 値は 6.6 であり、それほど高いものではありませんが、現実の攻撃は、別の尺度で発生するという、良い見本なのかもしれません。よろしければ、2023/07/31 の 「CVSS と CISA KEV だけに頼らない脆弱性管理:EPSS という新たな指標が登場」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.