シスコ、IOS XEソフトウェアのWeb UIに新たな重大なゼロデイ脆弱性を公開 – 攻撃者がルーターを侵害できる

3アストラペンテスト

インターネット上で Web UI を公開しているデバイスはいくつありますか?

攻撃対象領域の発見と管理に特化したフランスのサイバー防衛検索エンジンである ONYPHE の創設者、最高経営責任者、最高技術責任者であるパトリス・オーフレ氏は、本日早朝の TechRepublic との電子メール インタビューで、インターネット上の攻撃対象領域は非常に広いと語った。

本日データを更新したところ、7万4千台以上のデバイスがインターネット上でWeb UIを公開していることがわかりました。現時点で言えることは、この脆弱性はCVSSが10と最も深刻度が高く、ANSSIによると現在も悪用されているということです（図A）。

図A

10月18日午前4時30分頃（東部標準時）、Onypheは次のような最新情報を提供しました。「現在、
8万台の脆弱性のあるデバイスのうち、5万3000台のデバイスが侵害を受けている（つまり、インプラントがクエリに応答している）ことが判明しました。これは全体の66%に相当します。」

シスコがこの悪意ある活動を発見した時のタイムライン

2023年9月28日、Cisco Talosの研究者は、顧客のデバイス上で不審なアクティビティを発見しました。不正なユーザーがCisco IOS XEオペレーティングシステム上で「cisco_tac_admin」というユーザー名でローカルユーザーアカウントを作成していました。このユーザー名の「TAC」は、シスコのテクニカルアシスタンスセンターを指している可能性があります。このアクティビティはブルガリアの不審なIPアドレスから発生していましたが、それ以外のアクティビティは確認されませんでした。

2023年10月12日、不正ユーザーによる新たなローカルユーザーアカウントが作成されました。今回はユーザー名「cisco_support」で、同じブルガリアのプロバイダーの別の不審なIPアドレスから作成されました。このアカウント作成に続き、任意のコマンド実行を容易にするインプラントの展開など、さらなる不正行為が行われました。

どちらのアカウントもレベル15の権限を持ち、デバイスへの完全な管理者権限を持っています。システムへのアクセスとこれらのアカウントの作成に使用された脆弱性はCVE-2023-20198で、共通脆弱性評価システム（CVS）の最高スコア10を獲得しています。

Cisco Talos が述べたように、最初のクラスターは脅威の攻撃者がコードをテストする最初の試みだった可能性があり、10 月の活動は、攻撃者がインプラントの展開を通じて永続的なアクセスを確立することまで活動を拡大していることを示しているようです。

このゼロデイインプラントの展開に関する技術的な詳細

攻撃者はローカルユーザー「cisco_support」を作成した後、既知の脆弱性CVE-2021-1435を悪用してインプラントを展開することに成功しました。この脆弱性に対するパッチは2021年から存在しています。しかし、Cisco Talosは、CVE-2021-1435のパッチが完全に適用されたシステム上で、まだ特定されていない方法でインプラントが展開されたことも確認しました。

侵害されたデバイスでは、インプラントはパスの下に保存されます

/usr/binos/conf/nginx-conf/cisco_service.conf

16進文字で構成される2つの可変文字列が含まれています。攻撃者は永続化メカニズムを導入していなかったため、このインプラントは再起動後も存続しませんが、不正なローカルユーザーアカウントは再起動後もシステム上に残ります。

インプラントは 29 行の Lua コードで構成されています (図 B )。

図B

インプラントは任意のコマンド実行を容易にし、デバイスに送信された HTTP POST リクエストによってトリガーされ、次の 3 つの機能にパラメータを配信します。

• 最初の関数「menu」パラメータは、スラッシュで囲まれた数字の文字列を返します。Cisco Talos の研究者は、これがバージョン管理またはインストールのタイムスタンプとして使用されていると疑っています。
• 2 番目の関数「logon_hash」パラメータは、インプラント内にハードコードされた 18 文字の 16 進文字列を返します。
• 3 番目の関数も「logon_hash」パラメータを使用して、攻撃者が送信したパラメータがインプラントにハードコードされた 40 文字の 16 進文字列と一致するかどうかを確認し、別のパラメータ「common_type」を使用して、コードをシステム レベルで実行するか、IOS 権限レベル 15 で実行するかを決定します。

Cisco IOS XEソフトウェアのセキュリティ脅威を軽減する方法

この脆弱性の悪用は、Cisco IOS XEソフトウェアのみを対象としています。このソフトウェアを使用している組織では、インターネットに接続されたすべてのシステムでHTTPサーバ機能を無効化し、Web UIにアクセスできないようにすることをシスコは強く推奨します。管理者は、グローバル コンフィギュレーション モードでno ip http server コマンドとno ip http secure-serverコマンドの両方を無効化することで、この操作を実行できます。

管理者は、許可されたホストとネットワークのみがシステムにアクセスできるように、HTTP サーバー機能にアクセス リストを適用することもできます。

Cisco では、システムのリロード時に変更が失われないように、管理者は次のコマンドを使用して実行コンフィギュレーションを保存する必要があると述べています。

copy running-configuration startup-configuration

インプラントの存在は、システム上にある場合にインプラントに応答させる HTTP POST リクエストを送信することによっても確認される可能性があります。

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

このコマンドでは、systemip をシステムのIPアドレスに置き換える必要があります。システムが16進数の文字列を返した場合、インプラントがシステム上にインストールされていることを意味します。

管理者は、すべてのローカルユーザー、特に攻撃者によって追加された可能性のある新規作成されたユーザーを注意深く確認する必要があります。また、Web UIにアクセスするすべてのユーザーのログファイルを注意深く確認する必要があります。

さらに、Cisco Talosが報告した調査結果によると、攻撃者は2021年以降に修正された脆弱性を悪用してさらなる侵害を行う可能性があります。一般的な脆弱性による侵害を回避するには、すべてのオペレーティングシステムとソフトウェアを常に最新の状態に保ち、修正プログラムを適用する必要があります。

開示：私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。