Cisco IOS XEの脆弱性対応は不適切? Horizon3.aiがPoCを公開:セキュリティニュースアラート
Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。
セキュリティ企業のHorizon3.aiは2023年10月30日(現地時間、以下同)、Cisco Systems(以下、Cisco)製品「Cisco IOS XE Software」に存在する脆弱(ぜいじゃく)性「CVE-2023-20273」を悪用できることを示すPoC(概念実証)を公開した。
このPoCではサイバー攻撃者が細工されたリクエストを送ることで認証をバイパスし、特権レベル15のユーザーを作成できることが示された。これによってサイバー攻撃者はデバイスの完全な制御を奪うことが可能となる。
Ciscoの脆弱性対応は本当に適切か? Horizon3.aiが疑問視
Ciscoは2023年10月16日、Cisco IOS XE SoftwareのWeb UI機能に脆弱性が存在するとしてセキュリティアドバイザリ「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」を公開した。
当初発表された脆弱性「CVE-2023-20198」は共通脆弱性評価システム(CVSS)のスコア値が10.0で深刻度「緊急」(Critical)に分類されている。これは簡単に悪用できるゼロデイ脆弱性で、発表時点で相当数の被害者の存在が想定されていた。
また、Ciscoが同脆弱性を修正している間に別の脆弱性「CVE-2023-20273」も明らかになった。この脆弱性はCVSSのスコア値が7.2で「重要」(Important)と分析されている。
Horizon3.aiによると、今回のPoCでCVE-2023-20273を悪用することでroot権限を取得しインプラントを書き込めることが分かった。ただ、正確にいえば、CVE-2023-20273がなくてもデバイスを完全に制御できると同社は説明しており、新たな問題を提起している。
Horizon3.aiはその他、CVE-2023-20273への対応としてCiscoが実施した修正について「パス解析の脆弱性を修正するという当社が想定していたものではなく、『型破りな方法』だ。この修正方法では他にも隠れたエンドポイントが存在している可能性がある」と指摘している。
本稿執筆時点では、影響受ける可能性がある全ての製品バージョンに対して修正版が提供されているため、迅速にこれを適用してほしい。
関連記事
- ビッグモーターが不正アクセス被害を報告 約7年分の個人情報が流出か
ビッグモーターは同社が運営するWebサイトに対し、第三者による不正アクセス被害が発生したと報告した。Webサイトの「お問い合わせフォーム」に連絡したユーザーの個人情報の一部が漏えいした可能性がある。 - “デキるCEO”はセキュリティにどう取り組んでいるのか?――アクセンチュア調査
アクセンチュアは全世界のCEOに対して実施したサイバーセキュリティに関する調査結果を公表した。調査によると、CEOはサイバーセキュリティに対して誤った思い込みを持っているようだ。 - “ドメイン移管ロック”も効果なし…… 自社ドメインを守るためにできる3つのこと
会社の「顔」ともいえる「ドメイン」ですが、「重要な情報であり奪われてはならない資産」という認識を持っていない方もいます。これを盗まれるとどうなってしまうのでしょうか。 - 「サイバーレジリエンス」の基本を解説 もう知ったかぶりからは卒業しよう
最近聞くようになってきた「サイバーレジリエンス」という言葉。これを自信を持って説明できる人はどのくらいいるでしょうか。そもそも「レジリエンス」とはどういう意味で「サイバーセキュリティ」とは何が違うのか、解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.