Cisco IOS XEのゼロデイ脆弱性は対処済み? 約4万2000台のデバイスが被害:Cybersecurity Dive
Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。
コンピュータネットワーク機器の開発企業であるCisco Systems(以下、Cisco)の広報担当者は、自社の速報を引用して(注1)、次のように語った。
「当社は『Cisco IOS XE』ソフトウェアの重大なゼロデイ脆弱(ぜいじゃく)性に対処するための修正プログラムを2023年10月15日にリリースした」
「正体不明のハッカーが、Cisco IOS XEのWeb UIを悪用し、全世界の約4万2000台のデバイスに悪意のあるバックドアをインストールした」とCencysのセキュリティ研究者は推定している(注2)
悪用されたセキュリティ上の2つの問題
同社の調査によると、ハッカーはこれまで知られていなかったセキュリティ上の2つの問題を悪用していた。
サイバー攻撃者は、共通脆弱性評価システム(以下、CVSS)スコア10の脆弱性「CVE-2023-20198」を悪用し(注3)、システムへの初期アクセスと最高の特権(特権レベル15)の制御を確立し、ユーザー名とパスワードを作成できるようにした。その後、攻撃者は通常のアクセスでログインした。
サイバー攻撃者は、Web UI機能の別コンポーネントを悪用し、特権を昇格させてファイルシステムにインプラントを書き込んだ。2つ目の脆弱性「CVE-2023-20273」のCVSSスコアは7.2だ。
セキュリティ組織ShadowServer Foundationの研究者によると、2023年10月15日にパッチがリリースされる前に、インプラントが書き込まれたデバイスの大部分をスキャンで検出できなくなったという(注4)。
Ciscoの脅威インテリジェンスグループCisco Talosによると(注5)、「CVE-2021-1435」としてリストアップされている古い脆弱性は(注6)、これらのサイバー攻撃とは関連していない。
Ciscoは「修正プログラムがリリースされるまでは、HTTP機能を無効にすることで攻撃を防げる」と述べている。
Cisco Talosによると、不審な活動に最初に気付いたのは2023年9月28日だったが、後になって、同年9月18日から活動が始まっていたことが判明した。Cisco TalosのインシデントレスポンスとCiscoのテクニカルアシスタンスセンターは、その後、同年10月12日に複数の活動を追加で発見している。
Cisco Talosの研究者は「私たちは、サイバー攻撃者がデバイスに関する情報を収集し、予備の偵察を実行するのを観察した。ハッカーは、攻撃を隠蔽(いんぺい)するためにログを消去したりユーザーを削除したりするコマンドを幾つか入力していた」と述べている。
これらの活動は、同じハッカーによるものと考えられているが、その正体は公表されていない。
編集者注: この記事は、Ciscoが2023年10月15日に修正プログラムを発表したことを受けて更新された(注7)。また、修正プログラムのリリースの前に、研究者は感染したデバイスの大部分をオンラインで検出することができなくなった。
(注1)Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature(CISCO)
(注2)Almost 42K Cisco IOS XE devices exploited, no patch available(Cybersecurity Dive)
(注3)NATIONAL VULNERABILITY DATABASE(NIST)
(注4)Shadowserver(twitter Publish)
(注5)Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities(CISCO TALOS)
(注6)CVE-2021-1435 Detail(NIST)
(注7)Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature(CISCO)
関連記事
- CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に
FIRSTは共通脆弱性評価システム(CVSS)の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。 - 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - “大流行するマルウェアには発生周期がある”は、トンデモ仮説かそれとも予言か?
「大規模なワーム型マルウェアには発生周期がある」という大胆な仮説が提示された。果たして本当だろうか。
© Industry Dive. All rights reserved.