Number of Cisco Devices Hacked via Unpatched Vulnerability Increases to 40,000
2023/10/19 securityweek — 複数のサイバー・セキュリティ企業からの報告によると、IOS XE に存在するパッチ未適用の脆弱性の悪用により、Cisco デバイスの約 40,000 台がハッキングされているという。悪用された脆弱性 CVE-2023-20198 は、IOS XE の Web UI に影響を及ぼす深刻な欠陥であり、リモートの未認証の攻撃者に対して、特権昇格を許す可能性があるされる。現時点においても、Cisco はパッチをリリースしていない。また、遅くとも9月中旬以降に、この脆弱性がゼロデイとして悪用されていると、同社は警告している。
脆弱性 CVE-2023-20198 の悪用に成功した脅威アクターは、標的となるデバイス上に高特権のアカウントを作成し、システムの完全な制御を可能にする。いくつかの攻撃のケースでは、任意のコマンド実行のためのインプラント配信も確認されている。
Cisco によると、それらのインプラントは、古い脆弱性 CVE-2021-1435 を介して配信されたケースもあるが、CVE-2021-1435 に対してパッチ適用されたシステム上でも発見されているため、未知の脆弱性が悪用された可能性があるという。
脆弱性インテリジェンス企業 VulnCheck は、このゼロデイが検知された直後にインターネット・スキャンを実施し、1万台の侵害されたスイッチとルーターを発見したが、そのスキャンは継続中であり、さらに増える可能性が高いと指摘している。
現状において、VulnCheck は最新情報を提供していないが、インターネット検索エンジンの Censys が 10月17日に実施したスキャンでは、インターネット上に露出した IOS XE の Web インターフェースが 6万7000件もあり、その中のバックドア化されたと思われるホストが、3万4000件以上も見つかったという。また、翌日に Censys が実施した別のスキャンでは、ハッキングされたシステムの数は 42,000近くにまで、増加していた。
侵害された Cisco デバイスの大半は米国に存在し、そこにフィリピン/中南米が続いている。また、インド/タイ/シンガポール/オーストラリアも、かなりの数の感染者がいるという。
インターネット上の脆弱なシステムをスキャンする LeakIX によると、当初は約 30,000 台の Cisco デバイスで、悪意のインプラントが確認されたとのことだが、直近のスキャンでは、さらに 10,000 台の感染したシステムが検出されたという。
脅威インテリジェンス企業 GreyNoise も、ハニーポットを使用して、この攻撃の試みを追跡している。10月19日の時点において、230件のユニークな IP アドレスから発信された攻撃を確認しているという。
Cisco IOS XE の脆弱性 CVE-2023-20198 については、10月16日の時点でゼロデイ・エクスプロイトが発生したという報道がありました。しかし、今日の記事では、古い脆弱性 CVE-2021-1435 を介してマルウェアが配信された可能性も示唆されています。さらに、この古い脆弱性は、10月19日付で CISA KEV に登録されたという状況です。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.