CISA Adds Second Cisco Ios Xe Flaw To Its Known Exploited Vulnerabilities Catalog
2023/10/23 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco IOS XE の脆弱性 CVE-2023-20273 を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、Web UI における、まだ不明確な問題を残すものである。この欠陥を CVE-2023-20198 と連鎖させる攻撃者は、新しいローカル・ユーザーを作成して root に特権を昇格させ、ファイル・システムにインプラントを書き込めるという。
先週に Cisco は、同社の IOS XE ソフトウェアに存在するゼロデイ脆弱性 CVE-2023-20198 (CVSS:10) が、攻撃で活発に悪用されていることを顧客に警告した。同社は、複数の Technical Assistance Center (TAC) サポート・ケースの解析中に、この脆弱性を発見した。この脆弱性の悪用に成功した攻撃者が、管理者権限を取得し、脆弱なルーターを乗っ取る可能性がある。
Cisco は、CVE-2023-20198 の欠陥を悪用する攻撃を調査している間に、この問題にについて、すでにパッチが適用されたシステムに対する攻撃に気付いた。それは、脅威アクターが、2番目のゼロデイ欠陥を悪用していることを示唆する状況である。
Cisco のアドバイザリには、「当社の調査により、未知だった2つの脆弱性が、攻撃者に悪用されていることが判明した。最初に攻撃者は、脆弱性 CVE-2023-20198 を悪用して初期アクセスを行い、特権 15 コマンドを発行してローカルユーザーとパスワードの組み合わせを作成した。これにより、この攻撃者は通常のユーザー・アクセスでログインできるようになった」と記されている。
その後に攻撃者は、Web UI コンポーネントを悪用し、新しいローカル・ユーザーを活用して root に特権を昇格させ、ファイル・システムにインプラントを書き込んだ。Cisco は、この問題に CVE-2023-20273 を割り当てている。
- CVE-2023-20198:CVSS:10.0
- CVE-2023-20273:CVSS:7.2
現時点において Cisco は、この2つのゼロデイ脆弱性に対処し、緩和策も提供している。CISA は、脆弱性 CVE-2023-20198/CVE-2023-20273 に対処するためのガイダンスを発表している。
拘束的運用指令 (BOD) 22-01によると、連邦政府機関は 21 日以内にネットワーク内の脆弱な製品を特定し、利用可能なパッチと緩和策を適用しなければならない。そして、CISA は連邦政府機関に対し、2023年10月27日までに、この欠陥を修正するよう命じている。
なお、このカタログを民間組織も見直し、インフラの脆弱性に対処することを、専門家は推奨している。
Cisco IOS XE の脆弱性 CVE-2023-20273 が CISA KEV に追加されました。このインシデントに関連する脆弱性 CVE-2023-20198 と CVE-2021-1435 に加えて、これで3回目の追加ですが、CVE-2021-1435 は関連しないようです。
10/19:Cisco の未パッチ・ゼロデイ CVE-2023-20198:40,000 台のハッキング
10/20:Cisco IOS XE のゼロデイ CVE-2023-20273:大規模侵害の原因を特定
10/22:Cisco IOS XE のインシデント:侵害デバイス数が 50,000 から急減?
10/23:Cisco IOS XE の脆弱性 CVE-2023-20198/CVE-2023-20273 にパッチ
IoT OT Security News 
You must be logged in to post a comment.