CVSSは「10.0」 Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供：セキュリティニュースアラート

CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2023年10月16日（現地時間）、ネットワーキングソフトウェア「Cisco IOS XE Software」のWeb UI機能に脆弱（ぜいじゃく）性が存在すると伝えた。

　サイバー攻撃者がこれを悪用すると、影響を受けたシステムにおいて特権レベルアクセス15のアカウントを作成でき、遠隔からシステムの制御権を乗っ取ることが可能になる。

CiscoはCisco IOS XE SoftwareのWeb UI機能に脆弱性が存在すると伝えた。（出典：CiscoのWebサイト）

CVSSスコアは「10.0」　回避策は未提供

　CiscoはWeb UIの脆弱性を「CVE-2023-20198」として特定するとともに、深刻度を共通脆弱性評価システム（CVSS）のスコアで最大の「10.0」とし、「緊急」（Critical）と評価している。この脆弱性は積極的に悪用されていることが確認されており、迅速な対応が求められる。

　Web UI機能は「ip http server」や「ip http secure-server」といったコマンドで有効化できる。既にこの機能が有効化されているかどうかはシステムにログインし、CLIで「show running-config | include ip http server|secure|active」とコマンドを入力することで確認できる。コマンドの出力として「ip http server」や「ip http secure-server」または双方が表示されている場合、既に該当機能が有効化されている。

　上記のコマンドの出力結果が「ip http server」と「ip http active-session-modules none」の組み合わせだった場合、同脆弱性の影響は受けない。同じく上記コマンドの出力結果が「ip http secure-server」と「ip http secure-active-session-modules none」の組み合わせだった場合も同脆弱性の影響は受けないという。

　Ciscoはシステムがサイバー攻撃者によって侵害された可能性があるかどうかをシステムログから判断する方法を説明している他、該当製品を使用している場合はインターネットに接続されている全ての該当デバイスにおいてHTTPサーバ機能を無効に設定することを強く推奨している。同脆弱性を回避する方法は提供されておらず、HTTPサーバ機能を無効化することが望まれる。