Cisco IOS XEのゼロデイ脆弱性は対処済み？ 約4万2000台のデバイスが被害：Cybersecurity Dive

Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。

[David Jones，Cybersecurity Dive]

　コンピュータネットワーク機器の開発企業であるCisco Systems（以下、Cisco）の広報担当者は、自社の速報を引用して（注1）、次のように語った。

　「当社は『Cisco IOS XE』ソフトウェアの重大なゼロデイ脆弱（ぜいじゃく）性に対処するための修正プログラムを2023年10月15日にリリースした」

　「正体不明のハッカーが、Cisco IOS XEのWeb UIを悪用し、全世界の約4万2000台のデバイスに悪意のあるバックドアをインストールした」とCencysのセキュリティ研究者は推定している（注2）

悪用されたセキュリティ上の2つの問題

　同社の調査によると、ハッカーはこれまで知られていなかったセキュリティ上の2つの問題を悪用していた。

　サイバー攻撃者は、共通脆弱性評価システム（以下、CVSS）スコア10の脆弱性「CVE-2023-20198」を悪用し（注3）、システムへの初期アクセスと最高の特権（特権レベル15）の制御を確立し、ユーザー名とパスワードを作成できるようにした。その後、攻撃者は通常のアクセスでログインした。

　サイバー攻撃者は、Web UI機能の別コンポーネントを悪用し、特権を昇格させてファイルシステムにインプラントを書き込んだ。2つ目の脆弱性「CVE-2023-20273」のCVSSスコアは7.2だ。

　セキュリティ組織ShadowServer Foundationの研究者によると、2023年10月15日にパッチがリリースされる前に、インプラントが書き込まれたデバイスの大部分をスキャンで検出できなくなったという（注4）。

　Ciscoの脅威インテリジェンスグループCisco Talosによると（注5）、「CVE-2021-1435」としてリストアップされている古い脆弱性は（注6）、これらのサイバー攻撃とは関連していない。

　Ciscoは「修正プログラムがリリースされるまでは、HTTP機能を無効にすることで攻撃を防げる」と述べている。

　Cisco Talosによると、不審な活動に最初に気付いたのは2023年9月28日だったが、後になって、同年9月18日から活動が始まっていたことが判明した。Cisco TalosのインシデントレスポンスとCiscoのテクニカルアシスタンスセンターは、その後、同年10月12日に複数の活動を追加で発見している。

　Cisco Talosの研究者は「私たちは、サイバー攻撃者がデバイスに関する情報を収集し、予備の偵察を実行するのを観察した。ハッカーは、攻撃を隠蔽（いんぺい）するためにログを消去したりユーザーを削除したりするコマンドを幾つか入力していた」と述べている。

　これらの活動は、同じハッカーによるものと考えられているが、その正体は公表されていない。

編集者注：　この記事は、Ciscoが2023年10月15日に修正プログラムを発表したことを受けて更新された（注7）。また、修正プログラムのリリースの前に、研究者は感染したデバイスの大部分をオンラインで検出することができなくなった。

（注1）Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature（CISCO）
（注2）Almost 42K Cisco IOS XE devices exploited, no patch available（Cybersecurity Dive）
（注3）NATIONAL VULNERABILITY DATABASE（NIST）
（注4）Shadowserver（twitter Publish）
（注5）Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities（CISCO TALOS）
（注6）CVE-2021-1435 Detail（NIST）
（注7）Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature（CISCO）

原文へのリンク