Cisco IOS XEの脆弱性対応は不適切？ Horizon3.aiがPoCを公開：セキュリティニュースアラート

Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。

[後藤大地，有限会社オングス]

　セキュリティ企業のHorizon3.aiは2023年10月30日（現地時間、以下同）、Cisco Systems（以下、Cisco）製品「Cisco IOS XE Software」に存在する脆弱（ぜいじゃく）性「CVE-2023-20273」を悪用できることを示すPoC（概念実証）を公開した。

　このPoCではサイバー攻撃者が細工されたリクエストを送ることで認証をバイパスし、特権レベル15のユーザーを作成できることが示された。これによってサイバー攻撃者はデバイスの完全な制御を奪うことが可能となる。

Horizon3.aiはCisco IOS XE Softwareの脆弱性CVE-2023-20273を悪用したPoCを公開した（出典：Horizon3.aiのWebサイト）

Ciscoの脆弱性対応は本当に適切か？　Horizon3.aiが疑問視

　Ciscoは2023年10月16日、Cisco IOS XE SoftwareのWeb UI機能に脆弱性が存在するとしてセキュリティアドバイザリ「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」を公開した。

　当初発表された脆弱性「CVE-2023-20198」は共通脆弱性評価システム（CVSS）のスコア値が10.0で深刻度「緊急」（Critical）に分類されている。これは簡単に悪用できるゼロデイ脆弱性で、発表時点で相当数の被害者の存在が想定されていた。

　また、Ciscoが同脆弱性を修正している間に別の脆弱性「CVE-2023-20273」も明らかになった。この脆弱性はCVSSのスコア値が7.2で「重要」（Important）と分析されている。

　Horizon3.aiによると、今回のPoCでCVE-2023-20273を悪用することでroot権限を取得しインプラントを書き込めることが分かった。ただ、正確にいえば、CVE-2023-20273がなくてもデバイスを完全に制御できると同社は説明しており、新たな問題を提起している。

　Horizon3.aiはその他、CVE-2023-20273への対応としてCiscoが実施した修正について「パス解析の脆弱性を修正するという当社が想定していたものではなく、『型破りな方法』だ。この修正方法では他にも隠れたエンドポイントが存在している可能性がある」と指摘している。

　本稿執筆時点では、影響受ける可能性がある全ての製品バージョンに対して修正版が提供されているため、迅速にこれを適用してほしい。