シスコは、Cisco IOS XEシステムソフトウェアホストを攻撃者にさらす可能性のある2つのゼロデイ脆弱性を修正しました。これらの脆弱性は、ルータやスイッチなど、Cisco IOS XEソフトウェアを実行するデバイスに影響を与えます。
パッチを含むアップデートは、シスコのソフトウェアダウンロードポータルから入手できます。シスコのサービス契約をお持ちでないお客様、またはサードパーティベンダーから修正ソフトウェアを入手できないお客様は、シスコのサポートにお問い合わせください。
ジャンプ先:
- Cisco Threat Intelligence Group が IOS XE の脆弱性に対する修正プログラムと新しい curl コマンドをリリース
- IOS XEの脆弱性は9月28日に初めて発見された。
- Cisco IOS XEデバイスを保護するための手順
Cisco Threat Intelligence Group が IOS XE の脆弱性に対する修正プログラムと新しい curl コマンドをリリース
CVE-2023-20198およびCVE-2023-20273の修正プログラムは10月22日から展開が開始されたと、Cisco Talos Intelligence Groupは10月23日に更新された脅威アドバイザリに記している。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁によると、修正は 17.9 Cisco IOS XE ソフトウェア リリース トレインの 17.9.4a アップデートに含まれている。
CVE-2023-20198 は、Cisco IOS XE ソフトウェアの Web UI の脆弱性を悪用し、攻撃者が権限レベル 15 のアクセス権を取得することを可能にしました。CVE-2023-20273 は、権限レベル 15 のアクセス権を持つ攻撃者がルート権限でコマンドを挿入することを可能にしました。共通脆弱性評価システムでは、CVE-2023-20198 は「緊急」、CVE-2023-20273 は「高」と評価されています。
10月22日、シスコは感染デバイスを確認するための新しいcurlコマンドを公開しました。curlコマンドは脅威アドバイザリに記載されています。
10月23日、Cisco Talos Intelligence Groupは、攻撃者がシステムレベルまたはIOSレベルで任意のコマンドを実行できるインプラントの更新版を特定しました(図A)。今回の修正は、このインプラントの更新版に対応しています。この更新版インプラントに加え、Fox-ITが攻撃者がここ数日間、身を隠していた可能性があることを発見したことから、この脆弱性が依然として悪用されていることがわかります。
図A
IOS XEの脆弱性は9月28日に初めて発見された。
シスコが初めて不審な点を疑ったのは9月28日でした。シスコのテクニカルアシスタンスセンターにケースが開設され、ブルガリアの不審なIPアドレスを持つユーザーがcisco_tac_adminというユーザー名を作成したことが確認されました。このインシデントは、その日と9月18日という早い時期に行われた同様の活動と関連していることが判明しました。
10 月 16 日、Cisco Talos Intelligence は、CVE-2023-20198 および CVE-2023-20273 というラベルの付いた 2 つのエクスプロイトを示す脅威アドバイザリを公開しました。
別の脆弱性(CVE-2021-1435)も関連があると考えられていました。10月20日、Cisco Talos Intelligenceは、この脆弱性が「この活動との関連性はもはや評価されていない」と発表しました。
参照:シスコは、AI 対応のセキュリティ強化などを目的として、ポートフォリオに Splunk を追加しました。(TechRepublic)
セキュリティ系スタートアップ企業Horizon3.aiの攻撃チーム戦術マネージャー、ジョシュ・フォスター氏はブログ記事の中で、攻撃者がこれらの脆弱性を悪用した場合、ネットワークトラフィックを監視したり、ネットワークトラフィックを挿入・リダイレクトしたり、保護されたネットワークセグメントに侵入したり、ネットワーク内に潜伏したりする可能性があると指摘している。
Cisco IOS XEデバイスを保護するための手順
シスコは、パッチを適用していないIOS XEデバイスをご利用のお客様に対し、インターネットに接続するすべてのシステムでHTTPサーバ機能を無効にするか、HTTPサーバ機能を信頼できる送信元アドレスのみに制限することを推奨しています。HTTPサーバ機能を無効にするには、グローバル コンフィギュレーション モードで no ip http server コマンドまたは no ip http secure-server コマンドを使用します。HTTPサーバとHTTPSサーバがアクティブな場合は、両方のコマンドを使用する必要がある場合があります。
10月23日に更新されたシスコのセキュリティアドバイザリには、「信頼できないホストやネットワークからのアクセスを制限するためにHTTPサーバー機能に適用されたアクセスリストは効果的な緩和策である」と記載されている。
さらに、「組織は、この脅威に関連する悪意のある可能性のある活動の証拠として、デバイス上で説明のつかないユーザーや新しく作成されたユーザーを探す必要があります」とCisco Talos Intelligenceはブログ投稿に書いています。
「シスコは透明性を重視しています。重大なセキュリティ問題が発生した場合、当社は最優先事項として対応し、お客様が問題を理解し、対処方法を把握できるよう努めています」とシスコはTechRepublicに送った声明の中で述べている。
