1. 概要

 Cisco社製品に搭載されている「Cisco IOS XE」で、深刻な脆弱性(CVE-2023-20198)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、10月18日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
 本脆弱性のCVSS v3.1のベーススコアは10.0(Critical)と極めて高く、記事作成時点でCisco社より本脆弱性へ対応するセキュリティパッチが提供されていないことから、インターネットまたは信頼されないネットワークへWeb UIを公開しているデバイスではHTTP/HTTPSサーバ機能を無効化するよう推奨されています。

 

2. 脆弱性情報詳細

(1) 攻撃概要
 Cisco IOS XEには、HTTP/HTTPSサービスにて機器の管理を行うWeb UI機能が提供されています。このCisco IOS XEのWeb UI機能において、当該脆弱性を悪用することで攻撃者に完全な管理者権限を持つユーザが作成され、対象のシステムを事実上完全に制御することが可能となります。攻撃者はスクリプト言語である「Lua」で書かれた悪意あるプログラムをHTTP POSTリクエストとしてシステムへ送り込むことで、システムレベル、あるいはOSレベルで任意のコマンドを実行することが可能となります。デバイスを再起動することで悪意あるプログラムは削除されますが、作成されたアカウントは残り続けることが確認されています。

2023_10_20_img1.png

【図1】当該脆弱性を悪用した攻撃イメージ

(2) 影響を受けるシステム
 -Web UI機能が有効になっているすべてのCisco IOS XEソフトウェア

(3) 緊急対策
 すでに本脆弱性の悪用を試みる通信が確認されていることから、影響を受けるシステムを利用している場合、速やかな対応が必要です。本記事作成時点ではCisco社から脆弱性に対応するセキュリティパッチは提供されておりませんが、推奨される対策が公開されています。
 具体的には脆弱性対象であるCisco社製品でWeb UI機能が動作するインターフェイスがインターネットまたは信頼されていないネットワークからアクセス可能な設定で利用しないこと、HTTP/HTTPSサーバ機能(Web UI機能を含む)を無効化することが挙げられます。また、HTTP/HTTPS通信を必要とするサービスを実行している場合、当該サービスへのアクセス制限などの対策が推奨されています。

(4) 侵害調査
 対策の適用に加えて、脆弱性を悪用する攻撃の被害を受けていないか確認するため、次のような調査の実施が有効であると考えられます。
 - 機器のログに脆弱性の悪用を示すログが記録されていないか
 - 機器に不審なユーザが追加されていないか

 

3. まとめ

 本記事では、Cisco IOS XEのWeb UI機能における最新の脆弱性(CVE-2023-20198)について詳細および対策・調査方法を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合は速やかにCisco社より案内のある対策を実施することを推奨いたします。

 

4. 参考情報

・JPCERT/CC
Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230025.html

・Cisco
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

・Cisco Talos
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

 

5. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 コロナ禍を経て急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

 セキュリティ運用監視サービス:
 https://www.ssk-kan.co.jp/e-gate#e-gate--02
 脆弱性診断サービス:
 https://www.ssk-kan.co.jp/vulnerability-assessment

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
       FAX 03-5464-9977
       sales@ssk-kan.co.jp