Cisco IOS XE の脆弱性 CVE-2023-20198：ゼロデイ・エクスプロイトが発生

Cisco warns of new IOS XE zero-day actively exploited in attacks

2023/10/16 BleepingComputer — 10月16日 (月) に Cisco は、IOS XE ソフトウェアに存在する深刻度の高い認証バイパス・ゼロデイ脆弱性について、管理者たちに警告を発した。この脆弱性の悪用に成功した未認証の攻撃者は、完全な管理者権限を取得することで、影響を受けるルーターをリモートで完全に制御できるという。同社によると、この脆弱性 CVE-2023-20198 (CVSS : 10.0) へのパッチは、現時点では適用されていない。なお、この脆弱性は、Web User Interface (Web UI) 機能が有効であり、HTTP／HTTPS サーバー機能がオンになっているデバイスにのみに影響するという。

Cisco は、「Cisco IOS XE ソフトウェアの Web User Interface (Web UI) 機能に存在する脆弱性 CVE-2023-20198 が、パブリックなインターネットに公開されている場合、または、信頼されていないネットワークに公開されている場合に、悪用が生じることを確認した。この脆弱性の悪用に成功すると、攻撃者は影響を受けたデバイス上で、特権レベル 15 のアクセス権を持つアカウントを作成することが可能である。その結果として、侵害したデバイスの完全な制御が許可され、その後の不正な活動が可能になる」と述べている。

9月28日に Technical Assistance Center (TAC) が、顧客のデバイスのおける異常な動作に関する報告を受けたことで、この攻撃は発見された。

Cisco による調査は 9月18日にまで遡り、その結果として複数の関連行為が特定された。この悪質な行為で確認されたのは、正規ユーザーが不審な IPアドレス “5.149.249[.]74” から、ユーザー名 “cisco_tac_admin” というローカル・ユーザー・アカウントを作成していたことだ。

さらに10月12日には、２つ目の疑わしい IP アドレス “154.53.56[.]231 から、”cisco_support” というローカル・ユーザー・アカウントが作成されたことが発見された。また、System／IOS レベルで任意のコマンドを実行するための、悪意のインプラントの展開も確認された。

Cisco は、「これらの活動のクラスターは、同じ行為者により実施された可能性が高いと評価している。この２つのクラスターは近い時期に出現し、9月の活動から 10月の活動へと発展したように見える。１つ目のクラスターは、おそらく脅威アクターによるコードのテストだが、10月の活動はインプラントの展開であり、永続的なアクセスの確立を含む操作へと拡大しているようだ」と述べている。

緩和策

Cisco は管理者たちに対して、インターネットに公開されているシステムの HTTP サーバ機能を無効化するようアドバイスしている。

Cisco は、「インターネットに面した、すべてのシステムで HTTP サーバ機能を無効化するよう強く推奨している。HTTP サーバ機能を無効にするには、グローバル・コンフィグレーション・モードで “no ip http server” または “no ip http secure-server” コマンドを使用する。HTTP サーバ機能を無効化した後に、”copy running-configuration-startup-configuration” コマンドを用いて、実行中の設定を保存してほしい。それにより、システムのリロード時に、HTTP サーバ機能が有効化されることはない」と説明している。

HTTP／HTTPS サーバの双方が使用されている場合には、双方に対して機能の無効化コマンドが必要となる。

さらに、ユーザー組織に対して強く推奨されるのは、この脅威に関連する悪意の活動の潜在的な指標として、最近になって作成された疑わしいユーザー・アカウントを探し出すことだ。

侵害された Cisco IOS XE デバイス上の、悪意のインプラントの存在を検出するための １つのアプローチは、デバイス上で以下のコマンドを実行することである：

curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”

Cisco の Director for Security Communications である Meredith Corley は、「私たちは、ソフトウェアの修正プログラムを提供するために、ノンストップで作業している。 また、セキュリティ・アドバイザリを通じて、最新の調査状況について情報を提供していく」と、BleepingComputer に述べている。

９月にも Cisco は、同社の IOS／IOS XE ソフトウェアに存在し、攻撃者に狙われている、ゼロデイ脆弱性 CVE-2023-20109 にパッチを当てるよう、顧客に注意を促していた。

パッチ未適用のゼロデイ脆弱性が、しかも Cisco の IOS XE で生じ、その CVSS 値が 10.0 ということで、ちょっとした騒ぎになっています。ただし、Web User Interface に限定される脆弱性なので、わかりやすい緩和策も提示されているので、速やかな対応があれば、パッチ適用までの時間を稼ぐことが可能です。なお、この脆弱性 CVE-2023-20198 は、好評の直後に CISA KEV に追加されました。よろしければ、Cisco で検索も、ご利用ください。