Cisco IOS XE のインシデント:侵入されたデバイス数が 50,000 から 1,000 台前後に急減?

Number of hacked Cisco IOS XE devices plummets from 50K to hundreds

2023/10/22 BleepingComputer — ハッキングされ、悪意のバックドアを埋め込まれた Cisco IOS XE デバイスの数が、50,000 台以上から僅か数百台へと急減するという不思議な現象が起こっており、その原因について研究者たち首を傾げている。先日に Cisco は、2つのゼロデイ脆弱性 CVE-2023-20198/CVE-2023-20273 を悪用するハッカーが、50,000 万台以上の Cisco IOS XE デバイスをハッキングし、特権ユーザー・アカウントを作成し、悪意のある LUA バックドア・インプラントをインストールしたと警告している。この LUA インプラントにより、脅威アクターたちはデバイスの最高特権レベル 15 のコマンドを、リモートで実行できるようになる。


このインプラントには永続性が含まれていないため、再起動すればバックドアは削除されるが、攻撃中に作成された不正なローカル・ユーザーは残ることになる。

このニュースの発表以来、サイバー・セキュリティ企業や研究者は、一般に公開されている 80,000台の Cisco ISO XE デバイスのうちの約 60,000台が、このインプラントにより侵入されたことを発見している。

検出された Cisco インプラントの謎の減少

しかし 10月21日 (土) に 、複数のサイバー・セキュリティ組織が、悪意のインプラントが検出された Cisco IOS XE デバイスの数が、不思議なことに約 60,000台から僅か 100~1,200台 に減少したと報告した。ただし、スキャン方法の違いも考慮する必要がある。

Onyphe tweet

Onyphe の CTO である Patrice Auffret は、「この攻撃を操る脅威アクターたちは、その存在を隠すためのアップデートを導入している。したがって、スキャンを行ってもインプラントが検出されていないないと考えている。」と、BleepingComputer に述べている。

彼は、「2日連続で、インプラントの数が短時間で激減しているのが判る (添付のスクリーンショットを参照)。基本的に、既知のインプラントは再起動に耐えられないが、それらが再起動/更新された可能性がある。私たちは、最初から存在するはずのない問題を修正しようとしている、オリジナルの脅威アクターによるアクションだと考えている。インプラントが遠隔操作で簡単に検出できたのは、彼ら側のミスだった。おそらく、存在を隠すためにアップデートを行ったのだろう」と解説している。

The Shadowserver Foundation の CEO である Piotr Kijewski も、「10月21日以降いおいて、インプラントの数は激減しており、彼らのスキャンでは、悪意のインプラントを搭載したデバイスの検出数は 107台だと確認されている。インプラントは削除されたか、何らかの方法で更新されたようだ」と BleepingComputer に語った。

Number of Cisco IOS XE devices with malicious implant
Number of Cisco IOS XE devices with malicious implant
Source: ShadowServer

もう1つの説は、グレーハット・ハッカーたちが、影響を受けた Cisco IOS XE デバイスの再起動を自動化して、インプラントを消去しているというものだ。同様のキャンペーンは 2018年にも見られ、ハッカーが 10万台の MikroTik ルーターにパッチを適用し、クリプトジャッキングや DDoS キャンペーンに、悪用されないようにしたと主張していた。

しかし、Orange グループの Orange Cyberdefense CERT は 、「インプラントの減少の背後に、グレーハッ・トハッカーがいるとは考えていない。むしろ、新たな悪用の段階という可能性がある。脆弱性 CVE-2023-20198 の悪用に続いて、インプラントを隠すための潜在的なトレース・クリーニングの段階が進行中であることに注意してほしい」とツイートしている。

ユーザー組織に対して推奨されるのは、WebUI の有効化/無効化に関わらず、悪意のユーザーの追加の有無と、Web UI コンフィグレーションの変更などについて、調査を行うことだ。

セキュリティ研究者の Daniel Card が共有した、もう一つの可能性は、インプラントで侵入された多くのデバイスが、攻撃における本来の標的を隠すための単なる囮だったというものだ。しかし、現時点では、それは仮説に過ぎない。Cisco や社外の研究者たちが、すでに侵入された Cisco IOS XE デバイスを調べて、単に再起動が生じただけなのか、それとも、新たな変更が加えられたのかを確認するまでは、何が起こったのかを知る術はない。

BleepingComputer からも、インプラントの低下について Cisco に問い合わせたが、現時点では回答は得られていない。

この Cisco IOS XE の Web UI を巡る大規模侵害の話ですが、脆弱性 CVE-2023-20198 と CVE-2021-1435 組み合わせが疑われた後に、CVE-2023-20198 と CVE-2023-20273 の組み合わせに、その原因が断定されたようです。そして、今度は、侵害されたと言われるデバイスの数が、60,000台から 1,000 台前後に急減するという、ミステリアスな展開となっています。まだまだ続報が出てきそうな、注視すべきインシデントですね。