Cisco Zero-Day Exploit Code Goes Public: Patch Now or Face Total System Takeover
2024/04/25 SecurityOnline — Cisco IOS XE の深刻なゼロデイ脆弱性 CVE-2023-20198 に対して、PoC エクスプロイト・コードが公開されたことにより、世界中の膨大な数の組織におけるリスクが激増している。それ以前において、このバグの悪用方法を知っていたのは、一部の高度な攻撃者だけだった。しかし現在では、あらゆる技術レベルのハッカーが、脆弱なルーターやスイッチを驚くべき手軽さで、完全にコントロールできるようになっている。そのため、企業/インフラ・プロバイダー/政府機関は、エスカレートする攻撃の波に直面している。
脆弱性の背景
2023年10月下旬に Cisco は、IOS XE ソフトウェアに存在する、ゼロデイ脆弱性について警告を発している。具体的に言うと、Web UI (User Interface) と、アクティブな HTTP/HTTPS サーバ機能を備えたデバイスが、特に脆弱であるというものだった。攻撃者たちは、この重大な脆弱性を積極的に悪用し、認証を必要とせずにルーターやスイッチの完全なコントロールを獲得していた。
2023年9月28日に Cisco は、TAC (Technical Assistance Center) からの報告で、顧客デバイスにおける異常な動きを認識し、この脆弱性悪用の攻撃を初めて認めた。影響を受けるデバイス上で、この脆弱性を悪用する攻撃者は、高レベルのユーザー・アカウントの作成が可能であり、システム全体の乗っ取りにいたる可能性も判明した。
攻撃の仕組み
この脆弱性を悪用する攻撃プロセスについて、Horizon3.ai の研究者たちが詳述している。彼らが明らかにしたのは、iosd の Web Services Management Agent (WSMA) サービスへの HTTPリクエストを、攻撃者が操作できることである。この操作には、CVE-2023-20198 の影響を受けやすい、OpenResty のコンフィグ・ファイル生成も含まれる。
したがって攻撃者は、WSMA への SOAP リクエストを通じて、コンフィグ機能へのアクセスを許可するコマンドを実行し、最高権限 (Level 15) のユーザーを作成できる。この侵害により、完全な制御を奪った攻撃者は、さらなる脆弱性の悪用を必要とせずに、対象となるデバイス上に悪意のインプラントを、ダイレクトにインストールできるようになる。
最近の動向と Cisco の対応
2024年4月25日に、W01fh4cker として知られるセキュリティ研究者が、CVE-2023-20198 に対する PoC エクスプロイト・コードを公開したことで、状況がエスカレートしている。
勧告と結論
Cisco は迅速に対応し、2023年10月30日のセキュリティ情報を更新し、脆弱性を緩和するために必要なパッチを IOS XE に提供した。潜在的に脆弱なコンフィグレーションを持つ、すべてのユーザーに対して Cisco は、悪用を防ぐために直ちにデバイスをアップデートするよう求めている。
Cisco IOS XE を使用している場合には、デバイスのコンフィグレーションを見直して、Web UI 機能を使用していない場合には、速やかに無効化することが強く推奨されている。さらに、このような深刻な脆弱性から身を守るためには、ネットワーク機器のファームウェアを、常に最新の状態に保つことが重要となる。
Cisco IOS XE のゼロデイ CVE-2023-20198 ですが、2023/10/30 の「Cisco IOS XE の脆弱性 CVE-2023-20198:PoC エクスプロイトが共有された」でも、Horizon3.ai による PoC エクスプロイトが紹介されていました。したがって、2024年4月になって新たな PoC が登場し、これまで以上に攻撃がエスカレートしているということなのでしょう。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.